Geconnecteerde auto’s: Een rijdend doelwit voor hackers

Geconnecteerde auto

Van iedere nieuwe auto die van de band rolt, is slechts 20% nog zelf gemaakt door de autoconstructeur. De overige 80% worden geleverd door toeleveranciers, waaronder electronicacomponenten, veiligheidsystemen, connectiviteitssystemen en multimediasystemen. Jammer genoeg houdt deze technische evolutie ook een veiligheidsrisico in. Twee veiligheidsspecialisten van NTT Security trekken aan de alarmbel omdat hackers de geconnecteerde auto in het vizier hebben …

De connected car is geen verre toekomstmuziek meer. Tegen
2025 zullen er 150 miljoen auto’s rondrijden die op de een of andere manier
geconnecteerd zijn. Die permanente verbinding tussen het voertuig, de
backend-systemen van fabrikanten en andere servicepartners en het internet (5G
of wifi), brengt nieuwe gevaren met zich mee. Zo worden er steeds meer
persoonlijke en financiële gegevens gegenereerd, uitgewisseld en verwerkt.
Daardoor worden de connected cars dus blootgesteld aan veelvoorkomende
bedreigingen in de IT, zoals ransomware of aanvallen op webservers.

Kwetsbaar

Geconnecteerde wagens zijn op meerdere manieren kwetsbaar
voor hacking. Via media-interfaces, op backend-systemen via het internet of
rechtstreeks via sensoren of communicatie tussen voertuigen (Car2X). In het
eerste scenario is de bedreiging het hacken van data. Hackers kunnen
bijvoorbeeld in de IT-systemen geraken van autoconstructeurs en daar allerhande
data manipuleren, zoals bijvoorbeeld WLTP-waarden.”

“Het tweede scenario is nog gevaarlijker”, zegt René Bader,
Tactical Leader Business Applications & Car Security bij NTT Security. “Een
voorbeeld: sommige auto’s zijn uitgerust met een dongle die gelinkt is aan een smartphone app en data verzamelt voor
verzekeringsmaatschappijen. We hebben in het verleden al aanvallen gezien waarbij
hackers via de dongle toegang kregen
tot de rijsystemen van de wagen. Ze konden dus op afstand de remmen activeren
of extra gas geven. Het is gebleven bij pogingen zonder echte gevolgen. Hackers
zien het immers als een uitdaging om te zien hoe ver ze kunnen gaan. Maar het
toont wel aan hoe kwetsbaar de systemen zijn.”

Geconnecteerde auto

“Bovendien staan we nog maar aan het begin van de trend naar
steeds meer communicatiediensten”, gaat René Bader verder. “Denk maar aan
live-updates, streaming, car2car-communicatie, car2infrastructure-communicatie
en navigatiemogelijkheden. Helaas zijn de systemen vandaag de dag niet
voldoende beveiligd, omdat ze vaak nog niet beschikken over authenticatie op
basis van certificaten of codes die de identiteit van het apparaat kunnen valideren
en gegevens veilig kunnen overbrengen naar andere apparaten.”

Een veiligheid in
drie lagen

Een connected car kan enkel veilig zijn als er rekening werd
gehouden met geïntegreerde veiligheid op alle vlakken tijdens de levenscyclus:
van ontwerp tot productie en van gebruik tot demontage.

Commercieel Directeur Managed Fleet Services EMEA bij NTT
Security, Charles Bovy: “Autofabrikanten integreren deze veiligheidscultuur
meer en meer en de toeleveringsketen wordt steeds complexer en
gefragmenteerder. De beveiliging van de connected car moet nu ook de
verantwoordelijkheid zijn van de toeleveranciers. Om het risico te vermijden
dat een onderdeel of dienst wordt beschadigd, moeten er de drie lagen van de
connected car worden beveiligd: het voertuig, de backend en de cloud, en het
netwerk.”

Een grijze zone

“Vandaag is er eigenlijk een grijze zone”, zegt René Bader.
“Er is geen wetgeving rond de verantwoordelijkheid bij een security breach. De bestuurder zal zich tot de autoconstructeur
wenden. Maar ligt de verantwoordelijkheid daar of bij de toeleverancier? Niemand
heeft daar echt een antwoord op. Enerzijds zit je met een
veiligheidsarchitectuur in de drie lagen die vandaag niet voldoende is en
anderzijds is er zelfs geen wettelijk kader wanneer het verkeerd gaat. Naar de
toekomst toe moeten er dus zo snel mogelijk oplossingen komen.”

Geconnecteerde auto

Oplossingen? Encryptie
is het sleutelwoord

Wil je de huidige generatie auto’s die al geconnecteerd
zijn, veiliger maken dan is dat vanuit technisch standpunt geen sinecure.

“Eenvoudig is dat niet”, zegt René Bader. “Wil je nieuwe
veiligheidcomponenten toevoegen aan de architectuur van een auto, dan duurt dat
4 à 5 jaar omdat je moet testen en optimaliseren. Doe je dat niet, dan kan dat bijvoorbeeld
het brandstofverbruik beïnvloeden. Dan heb je geen correcte WLTP-waarden meer
en is ook de certificatie van het voertuig niet meer conform. En dat is maar
één van de mogelijke scenario’s waar het fout kan lopen. Ook wat netwerken
betreft zijn we vandaag nog beperkt. Een hedendaagse geconnecteerde auto
genereert per uur ongeveer 26 gigabyte aan data. Dat is te veel voor real time
veiligheidsprotocollen via 4G-netwerken. We werken momenteel aan de
implementatie van een machine learning
component (nvdr, een soort artificiële
intelligentie
) met een encryptiemodule die afwijkingen kan meten en
doorsturen om geanalyseerd te worden. Dat is één van de oplossingen die de
komende zes maanden geïmplementeerd zal worden bij enkele premiummerken.
Encryptie wordt trouwens één van de steunpilaren voor een betere veiligheid,
ook in de CAN-bussen die communiceren met de verschillende electronische
componenten in de auto.”

Van veiligheid een
onderscheidende factor maken

Geconnecteerde en (semi)-autonome voertuigen hebben heel wat
voordelen en autofabrikanten kunnen veiligheid gebruiken als verkoopsargument. “Maar
dan moeten klanten er wel op kunnen vertrouwen dat ook de leveranciers van
producten en diensten hier nauwkeurig mee omspringen. Omdat dit een
doorslaggevende factor is bij de selectie van partners, is het eerder een stimulans
voor innovatie van de automotive-sector dan een obstakel”, zegt Charles Bovy.

“Net als elk ander IT-bedrijf moeten fabrikanten en
belanghebbenden beschikken over strategieën die indringers en andere risico’s
op schade voorkomen. Naast continu toezicht is er een actieplan nodig, met een
analyse van de kwetsbare aspecten en routinetesten ter controle. Zo kan de
veiligheid van de verschillende componenten regelmatig gecontroleerd worden,
van de backend-infrastructuur tot de ingebouwde systemen van het voertuig.”

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *