Auto’s moeten steeds slimmer, dus worden steeds meer datastromen aan elkaar geknoopt. Dit levert voordelen op, maar ook veel risico’s. In drie jaar tijd is het aantal cyberaanvallen met 225% gestegen. Tijdens het RAI-evenement ‘Wheels & Shields’ worden aanwezigen met de neus op de feiten gedrukt.
Vorig jaar werd bekend dat personenauto’s van Toyota gestolen kunnen worden via de koplampen. Een dief kan de koplamp losmaken en vervolgens de auto hacken. Via een klein apparaat, dat te koop is op het dark web, kan via de koplamp verbinding worden gemaakt met het CAN-bus systeem. Vervolgens kan de hacker de auto overtuigen dat de sleutel aanwezig is, waardoor de auto van het slot gaat en gestart kan worden.
Uit de praktijk
Deze manier van het stelen maakte duidelijk dat de verantwoordelijkheid voor cyber security niet alleen bij de autofabrikanten ligt. Ook leveranciers en andere partijen hebben een groot aandeel om auto’s weerbaar te maken.
‘Het aantal zwakke plekken neemt toe.’
Garcia Galeano
Van allerlei bronnen lopen datastromen, en elke daarvan kan een potentiële ingang zijn voor een hacker met slechte bedoelingen. Om deze reden organiseerde RAI Automotive Industry NL, onderdeel van RAI Vereniging, het evenement ‘Wheels & Shields’ op de Automotive Campus in Helmond.
“Het is moeilijk cyber security interessant te maken”, stelt Ruud Bogers, product manager bij BRACE Automotive. Samen met Infinite Simulation Systems waren zij aanwezig als partner van het evenement. “En dat terwijl het overal nodig is. Zoveel verschillende onderdelen hebben een verbinding met data in een auto.” Hoog tijd dus om de industrie zelf aan het woord te laten. Alleen door verhalen uit de praktijk wordt duidelijk hoe breed het onderwerp cyber security is en hoe belangrijk het is.
Toegangspunten
“Auto’s zijn tegenwoordig overal mee verbonden. Niet alleen met de eigen onderdelen, van koplampen tot automatische trekhaken, maar ook met de buitenwereld. Er is er constant data-uitwisseling met de fabrikant, maar steeds meer auto’s praten met laadpalen, verkeerslichten en met andere auto’s. V2X-communicatie, oftewel van het voertuig naar andere objecten, wordt steeds wijder verspreid”, vertelt Luz Amanda Garcia Galeano. Als Functional Safety and Cybersecurity Manager bij bussenfabrikant Ebusco werkt zij dagelijks aan het veiliger maken van voertuigen.
“Het aantal zwakke plekken neemt toe.” Garcia Galeano somt de mogelijke toegangspunten op: “Hackers hebben toegang via processoren, via CAN injection, via de cloud, via open source software ergens in het voertuig, of zelfs via de Artificial Intelligence in de ADAS-systemen.” Als fabrikant moet zij niet alleen zorgen dat alle verschillende onderdelen veilig zijn als het voertuig wordt gebouwd, maar ook voor de jaren die komen gaan. “In de supply chain is weinig bewustzijn van de risico’s van cyber-aanvallen”, aldus Garcia Galeano. “Leveranciers maken vaak gebruik van oplossingen uit het verleden. Vaak is dit oude software op oude processoren. Bij updates kan de hardware regelmatig de oude software niet meer aan.”
Richtlijnen
Er zijn wereldwijd verschillende richtlijnen voor cyber security. In China gelden andere eisen dan in Amerika, in Europa of in India. Wereldwijd is ISO 21434 erg belangrijk. Deze richtlijn uit 2021 richt zich op cyber security in de auto-industrie. Het bevat voorschriften en richtlijnen voor risicobeoordeling, controles en mitigatiestrategieën bij voertuigen. ISO 21434 zegt bijvoorbeeld hoe leveranciers betrokken moeten worden en hoe de veiligheid gemonitord moet worden. De richtlijn stelt ook dat elk voertuig tot het einde van zijn levensduur updates moet kunnen ontvangen.
‘De fabrikanten dragen het risico van de leveranciers’
Mario Winkler
In Europa gelden sinds juli van dit jaar richtlijnen R155 en R156, die gaan over cyber security en het updaten van software. “Een fabrikant kan een voertuig pas op de weg zetten als aan deze richtlijnen is voldaan”, legt Mario Winkler uit. Hij is Lead Product Manager bij Ansys, een bedrijf dat software voor veiligheidsanalyses ontwikkelt. “Het zijn slechts richtlijnen, maar als er iets gebeurt, dan moeten bedrijven bewijzen dat ze deze gevolgd hebben.” “De richtlijnen gelden echter alleen voor de fabrikanten. Leveranciers denken daarom vaak: dat is niet mijn probleem”, vult Garcia Galeano aan.
“De fabrikanten dragen het risico van de leveranciers”, vertelt Winkler. “Nieuwe voertuigen moeten vaak snel op de markt gezet worden. Hierdoor is er vaak geen tijd om van alle onderdelen te controleren of ze aan de regels voldoen. Dat is een enorm risico voor fabrikanten.” Ansys biedt daarom oplossingen waarmee analyses gedaan kunnen worden. Deze genereren documenten, die kunnen dienen als bewijs voor veiligheid. Partijen als BRACE Automotive en Infinite helpen bedrijven deze oplossingen te gebruiken.
Veel geld
“De richtlijnen zijn erg complex, meer voor de fabrikanten dan voor de leveranciers. Maar ze bieden ook handvatten. De richtlijnen vertellen niet precies hoe je het moet doen, maar dat verbetert snel. Een fabrikant kan de regelgeving gewoon volgen”, vertelt Patrick Duisters van ICT Improve, onderdeel van de ICT Group. “De auto-industrie kan ook veel leren van andere bedrijfstakken. Die hebben met hetzelfde te maken. Er zijn echter maar weinig experts die in meerdere industrieën werken.”
“Sowieso staan de experts vaak alleen. Het is vaak de IT-er tegen de rest van het bedrijf. Cyber security kost veel geld, maar bedrijven snappen niet waarom de uitgaven nodig zijn. Tot het fout gaat, natuurlijk. Cyber security is een verborgen kenmerk, geen functie van het product”, legt Duisters uit. Winkler valt hem bij: “Vaak zijn de afdelingen veiligheid en cyber security bij bedrijven nog gescheiden. Terwijl het draait om exact hetzelfde: veiligheid van het product.”
“Autofabrikanten kiezen vaak voor de goedkoopste oplossing. Veiligheid is duurder, dus het veiligste product wordt niet gekozen”, aldus Duisters. “Er wordt vaak vanuit gegaan dat een onderdeel wel veilig is. Daar ligt een belangrijke taak voor de fabrikanten. Zij moeten inkopers beter opleiden. Bovendien moeten de eisen aan onderdelen duidelijk vastgelegd zijn. Dat kost alleen allemaal weer geld.”
Artificial Intelligence
“Verbindingen met de cloud maakt hacken alleen maar makkelijker”, stelt Avinash Varadarajan, business manager bij BRACE Automotive. “Een hacker hoeft maar op één plaats in te breken. De rest is standaard.” Varadarajan laat de zaal zien dat auto’s al gehackt worden zolang er computerchips in zitten. Het uitwisselen van data maakt alles veel complexer, vertelt hij de zaal. “Bedreigingen evolueren constant. Daarom moeten bedrijven blijven investeren. Ook al zijn de bedreigingen onzichtbaar.”
‘Er wordt vaak aangenomen dat een onderdeel wel veilig is’
Patrick Duitsers
“Tegenwoordig wordt overal ook AI gebruikt”, zo vertelt hij. “Het wordt gebruikt door de ADAS-systemen, maar ook bijvoorbeeld bij het ontwerpen van auto’s. AI maakt het beveiligen alleen maar moeilijker.” Garcia Galeano van Ebusco is het hiermee eens. “AI is makkelijk te hacken als het verbonden is met andere systemen. Het is een enorme bedreiging. Aan de andere kant biedt AI ook kansen: het kan ook ingezet worden om aanvallen te herkennen. Hierdoor neemt het aantal valse positieven af.”
“Denk je dat jouw bedrijf veilig is tegen cyberaanvallen?” vraagt Varadarajan de zaal aan het einde van zijn presentatie. “Nou, vergeet het maar! Veel bedrijven weten helemaal niet dat ze gehackt zijn. Goede hackers blijven onzichtbaar, die worden niet gepakt.”