Nieuwe technologieën die steeds gemakkelijker beschikbaar komen, kunnen voor consumenten spannend zijn om eindelijk te ervaren. Aan deze innovaties in de auto-industrie hangt echter een prijskaartje. Naarmate digitale technologieën universeler zijn geworden, zijn ook de bijbehorende risico's groter geworden.
In tegenstelling tot voertuigen uit het verleden die een bestuurder nodig hadden en op benzine reden, kunnen nieuwe voertuigen binnenkort volledig autonoom zijn en met andere voertuigen communiceren. Deze krachtige technologische vooruitgang zorgt voor een hele reeks nieuwe kwetsbaarheden en uitdagingen waaraan de automobielindustrie het hoofd zal moeten bieden.
Innovaties in de auto-industrie leiden tot een verhoogd risico op cyberaanvallen
Verbonden voertuigen
Verbonden voertuigen zijn een van de belangrijkste uitdagingen die voortvloeien uit de ontwikkelingen in de auto-industrie. Verbonden voertuigen bestaan in verschillende vormen. In het meest eenvoudige geval communiceren ze met andere voertuigen of andere apparaten en systemen. Deze draadloze communicatieprocessen maken het cyberrisico van deze voertuigen duidelijk. Cybercriminelen en bedreigingsactoren kunnen de connectiviteit van deze voertuigen gebruiken om toegang te krijgen tot kritieke systemen in het voertuig, zoals remmen, sturen en de motor.
Een probleem met verbonden voertuigen is dat hackers, als ze eenmaal zijn gekraakt, zich later door de systemen van het voertuig kunnen bewegen en dan mogelijk andere systemen aanvallen die ook verbonden zijn. Veel auto's en voertuigen kunnen bijvoorbeeld verbinding maken met smartphones via Vehicle-to-Everything (V2X). Door één enkel voertuig aan te vallen, kunnen hackers toegang krijgen tot andere potentiële doelen, zoals mobiele telefoons.
Een ander probleem met verbonden voertuigen is dat ze vaak ook Vehicle-to-Vehicle (V2V) communiceren. Dit betekent dat een aanvaller die toegang krijgt tot een voertuig, ook andere voertuigen kan aanvallen. Laterale beweging door een netwerk is van primair belang voor cybercriminaliteit, en verbonden voertuigen vormen een bijzonder risico voor dit soort aanvallen.
Elektrische voertuigen
Elektrische voertuigen worden snel de standaard in de hedendaagse auto-industrie. Recentelijk is de verkoop van elektrische auto's teruggelopen door de stijgende energieprijzen en een gebrek aan betaalbare auto's. Hoewel 59% van de Amerikanen momenteel een kredietscore van meer dan 700 heeft, zorgt de toenemende schuld ervoor dat deze scores dalen en het moeilijker wordt om nieuwe elektrische voertuigen te financieren. Deskundigen zijn het er echter nog steeds over eens dat de verkoop van EV de wereldwijde automarkt zal blijven stimuleren.
Elektrische voertuigen worden aangedreven door elektronische apparaten en netwerksystemen die ervoor zorgen dat deze auto's efficiënt werken. Tesla biedt bijvoorbeeld regelmatige software-updates om de goede werking van het voertuig te garanderen. De systemen die elektrische voertuigen een prestatievoordeel geven, maken ze echter ook zo kwetsbaar. Of het nu gaat om een accupakket, een commercieel laadstation of externe servers die worden gebruikt om met voertuigen te communiceren, al deze systemen fungeren als zwakke plekken.
Wanneer kwaadwillenden deze systemen aanvallen, kunnen ze de levensduur van de batterij van het voertuig verkorten, het opladen bij een openbaar station verhinderen of via wifi de controle over het hele voertuig verkrijgen. Openbare laadstations vormen een bijzonder kwetsbare aanvalsvector omdat ze op dezelfde manier kunnen worden aangevallen als geldautomaten om gegevens te stelen. Met deze subsystemen moet rekening worden gehouden bij de ontwikkeling van een cyberbeveiligingsplan voor de automobielindustrie.
Zeer autonome voertuigen
Hoewel Tesla niet verwacht dat er dit jaar volledig zelfrijdende auto's voor consumenten op de markt komen, verschijnen er toch in hoog tempo op steeds meer straathoeken zeer autonome voertuigen. Waymo en GM's Cruise exploiteren beide bestuurderloze voertuigen op de openbare weg, en hoewel deze autonome voertuigen een beperkte reikwijdte hebben, vormen ze een bijzondere uitdaging voor cyberbeveiligingsexperten. Het probleem met deze technologieën is dat ze afhankelijk zijn van kunstmatige intelligentie (AI) en machinaal leren (ML) om te kunnen functioneren. AI en ML zijn beide bijzonder kwetsbaar voor ontwijkende aanvallen en sensorische manipulatie.
Net als een mens is AI afhankelijk van externe input om zijn omgeving te begrijpen. Wanneer hackers een autonoom voertuig aanvallen, kunnen ze de sensoren ervan kapen – waardoor het voertuig stopt of ze de volledige controle overnemen. Door de controle over deze voertuigen over te nemen, kunnen kwaadwillenden en cybercriminelen extreme schade aanrichten. Het beveiligen van AI-technologieën en ML is essentieel om de toekomst van zeer autonome voertuigen te beschermen.
Voornaamste cyberbedreigingen voor autofabrikanten
Hoe krijgen aanvallers toegang tot deze kritieke systemen? Om deze cyberdreigingen te elimineren, is het belangrijk om eerst vast te stellen waar deze aanvallen vandaan komen. Autofabrikanten zullen ervoor moeten blijven zorgen dat de voertuigen van morgen veilig zijn voor iedereen door deze bedreigingen tot een minimum te beperken.
Phishingaanvallen
Een constante bedreiging voor digitale systemen overal zijn phishingaanvallen. In tegenstelling tot brute force hacking, vertrouwt phishing op social engineering om gebruikers te verleiden tot het openen van e-mails, links of andere berichten die kunnen worden gebruikt om inloggegevens te verkrijgen of malware uit te voeren.
Phishingaanvallen zijn bijzonder gevaarlijk voor de auto-industrie omdat hackers potentieel toegang kunnen krijgen tot een onbeperkt aantal systemen als hun aanval succesvol is. Zelfs de centrale server die autonome voertuigen bestuurt, kan worden getroffen door de juiste phishingaanval. En erger nog, door hun aard kunnen phishingaanvallen eigenlijk alleen worden voorkomen door mensen goed te leren hierop te screenen en hun informatie niet zomaar prijs te geven.
Brute force-aanvallen
In tegenstelling tot phishing, waarbij mensen worden misleid om hun informatie te geven, dringen hackers bij brute force-aanvallen rechtstreeks een systeem binnen en krijgen toegang. Brute force-aanvallen zijn de meest voorkomende vorm van aanvallen in de Amerikaanse auto-industrie. Deze aanvallen zijn gericht op bekende systeemkwetsbaarheden of proberen met behulp van password stuffing toegang tot het systeem te krijgen. Brute force-aanvallen worden steeds geraffineerder dankzij AI, ML en nieuwere processoren en grafische kaarten die met alarmerende snelheid aanvallen kunnen uitvoeren.
Embedded systemen en andere soorten gespecialiseerde software kunnen bijzonder kwetsbaar zijn voor brute force-aanvallen als ze geen systeem hebben voor het “afkoelen” van wachtwoorden om herhaalde toegang te voorkomen. Met dit soort aanvallen kunnen cybercriminelen zich toegang verschaffen tot een willekeurig aantal autosystemen.
Ransomwareaanvallen
Ransomware komt steeds vaker voor als een manier voor hackers om hun inkomsten te vergroten. In tegenstelling tot andere aanvallen, waarbij gegevens worden buitgemaakt en doorverkocht op de zwarte markt, neemt ransomware de controle over systemen over totdat er losgeld wordt betaald. Tegenwoordig is een van de gevaarlijkste aspecten van ransomware Ransomware-as-a-Service (RaaS) geworden. Met RaaS verkopen cybercriminelen hun ransomwarediensten en nemen ze een deel van het losgeld als het eenmaal is betaald.
Ransomware en RaaS kunnen gevaarlijk zijn voor de auto-industrie omdat het voertuig zelf kan worden buitgemaakt. Bedrijven kunnen enorme verstoringen ondervinden wanneer hun clouddiensten worden verstoord, maar stelt u zich de kosten eens voor van het uitvallen van een heel wagenpark. Autofabrikanten die verkoopbezwaren willen voorkomen, moeten cyberbeveiliging boven aan hun prioriteitenlijst zetten.
Verbetering van de cyberveiligheid in de auto-industrie
De auto-industrie maakt gebruik van best practices op het gebied van cyberbeveiliging en ontwikkelt eigen praktijken om een aantal van deze uitdagingen het hoofd te bieden. Onlangs hebben de International Standardization Organization (ISO) en de Society of Automotive Engineers (SAE) hun normen gepubliceerd waarin voorschriften en eisen op het gebied van cyberbeveiliging voor voertuigen zijn vastgelegd. Door zich aan deze normen te houden, kunnen autofabrikanten samenwerken en de voertuigen van de 21e eeuw veiliger maken voor iedereen.
Ook andere technologieën, zoals blockchain, kunnen een rol spelen bij de beveiliging. Zo kan blockchaintechnologie helpen om transacties via autonetwerken te beveiligen. Andere eenvoudige bekende technologieën, zoals sterke wachtwoorden, versleuteling van gegevens en multifactorauthenticatie, kunnen de auto-industrie ook weerbaarder maken tegen cybercriminaliteit.
Tot slot is het belangrijkste wat iedereen, ook de auto-industrie, kan doen om cybercriminaliteit te voorkomen het inzetten van personeel om werknemers op te leiden over het belang van digitale veiligheid. Opleiding is essentieel om iedereen het belang van cyberbeveiliging te doen inzien en cyberaanvallen tot een minimum te beperken.
Opmerking: Dit blogartikel is geschreven door een gastauteur om onze lezers een gevarieerder aanbod te kunnen geven. De meningen die in dit artikel van de gastauteur worden geuit, zijn uitsluitend die van de auteur en komen niet noodzakelijk overeen met die van GlobalSign.
