Auto’s worden steeds slimmer en zijn met hun systemen steeds meer met elkaar en hun omgeving verbonden. Vanaf april 2018 moeten alle nieuw gefabriceerde auto’s in Europa ‘connected’ zijn door de introductie van E-call (Emergency call). Deze rijdende computers zijn echter niet ontworpen om hackers buiten te houden. De auto-industrie moet het voortouw nemen om de cyber security te verbeteren. Dit betoogt Herbert Leenstra, naar aanleiding van onderzoek van Cyber Security Academy The Hague in de automotive industrie. Het is volgens hem tijd om de ICT-architectuur in de auto’s grondig te herzien om ervoor te zorgen dat de veiligheid van de consumenten gegarandeerd wordt.
Verbonden
Connected cars, waaronder autonoom rijdende auto’s, communiceren constant met hun omgeving. In alle moderne auto’s zitten chips, waarop software staat die de functies van de auto verzorgen, denk aan motormanagement, navigatie en het entertainment systeem. Deze software maakt via Bluetooth, WiFi, 4G/5G of satelliet contact met andere auto’s en netwerken. Herbert Leenstra: “Via het internet is het vrij makkelijk om toegang te krijgen tot de CAN bus, de plek waar alle ICT-systemen bij elkaar komen, ofwel de ruggengraat van de auto. Hier kun je de instellingen van de auto wijzigen en hier hebben hackers direct invloed op de veiligheid van de auto. In 2015 lukte het hackers om in te breken in een rijdende Amerikaanse Jeep Cherokee. Ze konden de remmen blokkeren en de snelheid van het voertuig aanpassen.”
Fundamentele weeffouten
Uit het onderzoek blijkt dat er fundamentele weeffouten zitten in de ICT-architectuur van de huidige generatie voertuigen. Leenstra: “Het onderzoek laat zien dat hackers op diverse manieren het ICT-systeem van de auto kunnen binnenkomen. Het entertainmentsysteem geeft nu bijvoorbeeld toegang tot het motorsysteem, terwijl er eigenlijk geen enkele reden is voor zo’n verbinding. Nu de huidige generatie auto’s verbonden is met het internet, kunnen hackers ook via het internet diverse systemen van auto’s hacken.”
Updates
Het onderzoek levert concrete stappen op die diverse partijen in de automotive sector kunnen nemen om de cyber security van de auto’s te verbeteren. Leenstra: “Allereerst moet de autofabrikant het huidige CAN bus systeem van de auto herontwerpen zodat de vitale en non vitale systemen van de auto gescheiden van elkaar zijn en deze minder hackgevoelig wordt. Ten tweede moet de overheid antwoord geven op enkele fundamentele uitgangspunten zodat de automotive industrie hier op verder kan bouwen. Een antwoord waarop de industrie wacht, is bijvoorbeeld hoe lang de autofabrikant de software updates, security patches en firmware updates van de auto moet ondersteunen. De vraag is ook op welke manier zij die updates moeten uitvoeren. Een update kan nu via een USB-stick of via het internet. Maar op die USB stick kan natuurlijk van alles staan.”
Veiligheid
Ook ziet Leenstra een verbeterpunt in het delen van incidenten, de rol van verzekeraars, en het delen van kennis over cyber security. Leenstra: “In navolging van de VS kan Europa ook een auto ISAC oprichten. In een ISAC, Information Sharing and Analysis Center, delen alle betrokken partijen hun informatie en ervaringen op het security vlak.” En de consument? “De consument moet bij de verkopende dealer kritisch navragen hoe cyber secure de auto is en hoe de fabrikant dat kan bewijzen.”
Meer informatie
Herbert Leenstra deed onderzoek bij dertien Nederlandse bedrijven en instellingen betrokken bij de automotive industrie, zoals de overheid, kennisinstellingen, brancheorganisaties, automotive industrie en verzekeraars. Hij deed dit onderzoek in het kader van Stichting Cyber Security Academy The Hague (CSA) waarin de Universiteit Leiden, de Technische Universiteit Delft en De Haagse Hogeschool hun kennis en expertise op het gebied van cyber security gebundeld hebben. Het onderzoek vind je hier online.
