- Hoe groot is het (potentiële) probleem eigenlijk?
- Het belang van cybersecurity by design
- De cyberdreigingen van vandaag: de nieuwe zakelijke kansen van morgen?
Met het internet verbonden auto’s, waarvan er vele al (semi-)autonome functies hebben, zullen autorijden zoals wij dat kennen volledig veranderen. De verwachting is dat connected auto’s veel van onze verkeersongevallen in de toekomst zullen voorkomen, vervuiling en congestie zullen verminderen en ook de noodzaak voor parkeerplaatsen zullen terugdringen. Om connected voertuigen in staat te stellen dit allemaal te bereiken, moeten ze voorzien zijn van sensortechnologie en draadloze interfaces die hen verbinden met het internet, infrastructuur, externe apparaten en systemen, en natuurlijk met andere weggebruikers. Maar hoewel deze automotive connectiviteit enorm veel extra functionaliteit zal introduceren, zullen auto’s die zo connected, complex en steeds programmeerbaarder zijn ook steeds kwetsbaarder worden voor cyberaanvallen, waardoor we aan enorme privacy- en (cyber)veiligheidsrisico’s worden blootgesteld. Het goede nieuws is dat autofabrikanten steeds vaker hardware en software inbouwen om connected- en zelfrijdende voertuigen tegen cyberaanvallen te beschermen. Volgens MarketsandMarkets zal de cybersecuritymarkt voor auto’s naar verwachting groeien van $2,0 miljard in 2021 tot $5,3 miljard in 2026, met een CAGR van 21,3 procent. Het slechte nieuws is dat cybercriminelen gelijke tred houden en steeds geavanceerdere hackmogelijkheden ontwikkelen. Dus, hoe beschermen we de auto’s van morgen tegen cyberaanvallen?
“En als je bedenkt dat steeds meer mensen de komende jaren op connected autotechnologieën gaan vertrouwen — niet alleen voor efficiëntie en veiligheid, maar ook voor infotainment — en dat elke auto die met het Internet of Things verbonden is elke dag ongeveer 30 terabyte aan data zal produceren… nou, dan begrijp je dat (cyber)bescherming van deze auto’s van levensbelang is”.
Richard van Hooijdonk, trendwatcher en futurist
Hoe groot is het (potentiële) probleem eigenlijk?
Volgens het Connected Car Overview, 2020-2030-rapport zal de connected car-sector tegen 2030 gegroeid zijn naar 2,5 miljard ‘connecties’ — dat zijn 1,8 miljard connected voertuigen plus 0,7 miljard aftermarket-apparaten. Steeds meer kanalen zullen in elkaar overlopen, denk aan connected apparaten, connected infrastructuur, cloudopslag, enzovoort. En aangezien auto’s steeds meer op rijdende computers gaan lijken, met meerdere chips die elk miljoenen regels code bevatten die elke denkbare actie en reactie besturen — van remsystemen tot temperatuur en meer — wordt het duidelijk dat het beveiligen van deze voertuigen een complexe uitdaging is.
Futurist en trendwatcher Richard van Hooijdonk vertelt: “En als je bedenkt dat steeds meer mensen de komende jaren op connected autotechnologieën gaan vertrouwen — niet alleen voor efficiëntie en veiligheid, maar ook voor infotainment — en dat elke auto die met het Internet of Things verbonden is elke dag ongeveer 30 terabyte aan data zal produceren… nou, dan begrijp je dat (cyber)bescherming van deze auto’s van levensbelang is, niet alleen voor de veiligheid van de passagiers, maar ook om de potentiële voordelen van deze technologieën daadwerkelijk te realiseren”. Auto’s worden steeds meer onderdeel van het ecosysteem van slimme apparaten en digitale diensten en in de toekomst zullen onze ‘gepersonaliseerde auto’s’ zelfs onderdeel worden van onze digitale identiteiten.
Laten we ons eens verdiepen in de verschillende — en soms nogal creepy — dingen die connected auto’s in de toekomst allemaal kunnen doen, en welke bedreigingen een risico kunnen vormen voor de mensen in (en in de buurt van) deze auto’s. Connected auto’s zijn eigenlijk hetzelfde als elk ander slim apparaat. Ze hebben ingebouwde sensoren, microchips, microfoons en camera’s die allerlei soorten informatie verzamelen, zoals je locatie, de hoeveel brandstof die je verbruikt, factuurgegevens, of je je gordel wel om hebt, hoe snel je rijdt, hoe agressief je remt, de winkels, restaurants en andere zaken / mensen / instellingen die je bezoekt, naar welke muziek je luistert, hoe vaak je belt en met wie, en wat je allemaal op social media doet. Natuurlijk kunnen autofabrikanten je vertellen dat ze al deze informatie alleen maar gebruiken om hun producten te verbeteren (en zullen verzekeraars zeggen dat ze deze informatie gebruiken om de oorzaak van ongevallen te achterhalen). En natuurlijk kunnen ze beloven dat ze jouw privé-informatie nooit zonder toestemming met anderen zullen delen. Maar sta ook eens even stil bij hoe waardevol deze gegevens voor andere partijen zijn, zoals (andere) bedrijven en wetshandhavings- en overheidsinstanties.
Dan is er nog de kwestie van potentieel geïnfecteerde apparaten die met jouw auto zijn verbonden, zoals je smartphone, entertainmentsystemen, elektronische sleutels, telematica, externe apps, enzovoort, die deze ‘infectie’ naar de softwaresystemen van je auto kunnen verspreiden. Om nog maar te zwijgen over wat er allemaal zou kunnen gebeuren als cybercriminelen erin slagen om de controle over je auto over te nemen. Zo kunnen ze bijvoorbeeld de microfoon van het voertuig activeren en naar je gesprekken luisteren, het beveiligingssysteem van je auto saboteren, of je remmen uitschakelen en een ongeluk veroorzaken. We hebben allemaal wel gehoord van de 1,4 miljoen voertuigen die Chrysler in 2014 moest terugroepen nadat cybercriminelen een jeep hadden gehackt en de controle hadden gekregen over het dashboard, de remmen, de besturing en de transmissie van de auto. En in 2021 slaagde een 19-jarige vanuit zijn huis in Duitsland erin om op afstand in tientallen elektrische auto’s in maar liefst 13 landen in te breken en de controle te krijgen over de lichten, sloten en climate control van de auto’s. Bovendien kreeg hij het voor elkaar om de locaties van de auto’s te achterhalen en e-mailadressen van de eigenaren te pakken te krijgen. Op basis van deze voorbeelden en verschillende recentere incidenten is het dan ook niet moeilijk om te zien hoe ransomware in de toekomst tegen onvoldoende beveiligde voertuigen kan worden gebruikt. Hierdoor kunnen mogelijk hele bedrijfsvloten van connected auto’s — of die van een bepaalde autofabrikant — worden gegijzeld totdat de hackers hun losgeld krijgen. Cybercriminelen of overheidsactoren zouden zelfs een vloot van zelfrijdende auto’s kunnen kapen en deze in rijdende wapens kunnen transformeren. Geïnfecteerde of gehackte voertuigen kunnen ook ernstige risico’s vormen voor de omgeving waarin ze zich bevinden, zoals de zendmasten, satellieten en servers waarmee ze communiceren, maar ook infrastructuur, laadstations, sensoren in wegen, bruggen of gebouwen, of slimme verkeersmanagementsystemen.
Hoewel het huidige risico dat je auto wordt gehackt nog relatief laag is, worden alle voertuigen in de toekomst slimme apparaten, en daarmee ware schatkamers met zeer gevoelige en waardevolle informatie. Connected auto’s zullen zeer geavanceerde bescherming nodig hebben tegen allerlei soorten bedreigingen. Zo zullen bedrijven hun connected en (semi-)zelfrijdende wagenparken op een zelfde soort manier moeten beveiligen als ze doen bij hun kantoornetwerken. Denk aan inbraakdetectiesystemen, firewalls en patchmanagement-oplossingen. En op het moment van productie zullen autofabrikanten zich moeten richten op security by design, zero-trust architectuur, encryptie, enzovoort.
“Om te zorgen voor een gedegen basis voor het kritieke beveiligingssysteem van een voertuig, moeten we ons richten op security by design: beveiliging moet in elk aspect van het voertuig zijn ingebed. Er zullen altijd nieuwe bedreigingen zijn, maar een auto moet in staat zijn om cyberaanvallen te stoppen door middel Van standalone-oplossingen waar geen menselijke tussenkomst voor nodig is”.
Moshe Shlisel, CEO van GuardKnox
Het belang van cybersecurity by design
Nu er inmiddels miljarden in connected auto’s en aanverwante technologieën zijn gepompt, is het duidelijk dat we hard op weg zijn naar steeds meer ‘connected rijden’ en het pre-internettijdperk steeds verder achter ons laten. Alle elementen die deel uitmaken van het connected automotive ecosysteem, inclusief autofabrikanten, regelgevende instanties, federale wetgevers, cybersecurity-experts, beveiligingsleveranciers, enzovoort, zullen met elkaar moeten samenwerken om bestaande processen en beveiligingsmaatregelen te verbeteren. Dit is nodig om de auto’s van de toekomst adequaat tegen ransomware, malware, botnets, DDoS en diverse andere cyberrisico’s te kunnen beschermen. Maar totdat overheden strenge cybernormen opstellen en opleggen voor connected voertuigen, blijven chauffeurs, passagiers en andere weggebruikers ernstig gevaar lopen.
De belangrijkste eerste stap is security by design, wat betekent dat beveiliging tijdens de ontwerpfase voor elk aspect van het voertuig moet worden ingebed — van GPS en infotainment tot telematica en meer. Dit moet dus gebeuren voordat de auto wordt geproduceerd en niet achteraf. Er rijden inmiddels miljoenen connected auto’s op onze wegen zonder enige vorm van cyberbeveiliging — letterlijk an accident waiting to happen. Moshe Shlisel, CEO van GuardKnox, een bedrijf dat autofabrikanten cybersecurity-oplossingen biedt, legt uit: “Auto’s zouden geen constante menselijke interactie met de cybersecurity-aspecten van een voertuig nodig moeten hebben om cyberaanvallen te voorkomen. Om te zorgen voor een gedegen basis voor het kritieke beveiligingssysteem van een voertuig, moeten we ons richten op security by design: beveiliging moet in elk aspect van het voertuig zijn ingebed. Er zullen altijd nieuwe bedreigingen zijn, maar een auto moet in staat zijn om cyberaanvallen te stoppen door middel van standalone-oplossingen waar geen menselijke tussenkomst voor nodig is en die geen leermechanismen maar eerder deterministisch zijn”. Al deze miljoenen connected, semi-autonome auto’s die al op de weg rijden, moeten nu achteraf worden uitgerust met aftermarket-cybersecurity-oplossingen om ze te beschermen.
De cyberdreigingen van vandaag: de nieuwe zakelijke kansen van morgen?
Deze automotive cybersecurity-dreigingen, die naar verwachting zowel in frequentie als in omvang en ernst zullen toenemen, zullen echter ook leiden tot nieuwe zakelijke kansen voor autofabrikanten. Deze zullen in toenemende mate ook dienstverleners worden omdat alleen de hardware produceren en verkopen niet langer voldoende zal zijn. Volgens Allied Market Research zal een aanzienlijk aantal bedrijven de komende jaren de adaptieve beveiligingsmarkt betreden. Adaptieve beveiliging omvat de analyse van gedragingen en gebeurtenissen die slimme systemen kunnen helpen aanvallen te voorkomen voordat ze plaatsvinden. Adaptieve beveiliging — waarbij gebruikgemaakt wordt van analysetechnologie — biedt bescherming tegen zowel gerichte als opportunistische aanvallen, bedreigingen van binnenuit en meer. De gespecialiseerde beveiligingssoftware kan worden gebruikt om potentiële bedreigingen continu te analyseren, risico’s te berekenen en beveiligingsoplossingen te bieden die, afhankelijk van de situatie, op- of afgeschaald kunnen worden. En aangezien de cybersecuritybehoeften van de auto-industrie waarschijnlijk het hele mobiliteitsecosysteem zullen omvatten, zullen er ook in verschillende andere gerelateerde werkgebieden en sectoren tal van zakelijke kansen ontstaan. En dan hebben we het niet alleen over de bescherming van de voertuigen zelf, maar ook over hun laadstations, de apparaten waarmee ze zijn verbonden, en de datastromen tussen deze voertuigen en externe apparaten, slimme stadselementen, de cloud en vele andere interfaces.
Een laatste overweging
Nu auto’s steeds meer met alles verbonden zijn — zoals andere voertuigen, parkeermeters, verkeersmanagementsystemen en meer — en de voorkeuren en vereisten van automobilisten snel evolueren, past ook de connected car-industrie zich voortdurend aan. Connected auto’s verschillen niet veel van smartphones en andere slimme IoT-apparaten: ze zijn verbonden met het internet, communiceren met andere slimme apparatuur en systemen, en verzenden en ontvangen gegevens. De nieuwe technologieën en de data die daarbij gegenereerd en gebruikt wordt, zoals geavanceerde rijassistentie, meer personalisatie en alomtegenwoordige connectiviteit, zorgen voor aanzienlijke verbeteringen op het gebied van comfort en de verkeersveiligheid. Tegelijkertijd stellen deze technologieën automobilisten, andere weggebruikers en het verbonden ecosysteem van slimme apparaten en systemen ook bloot aan mogelijke cyberaanvallen. Om dit te voorkomen is het niet alleen belangrijk dat er rigoureuze cyberstandaarden voor connected voertuigen opgesteld en geïmplementeerd worden, maar is het implementeren van cybersecurity by design ook van groot belang. De verwachting is dat de behoefte aan oplossingen de groei van de wereldwijde cybersecuritymarkt voor auto’s in de komende jaren flink zal stimuleren en bedrijven in de connected automobielsector allerlei kansen zal bieden voor het ontwikkelen en aanbieden van aftermarket-cybersecurity-oplossingen.
Share via: