Wat betekenen nieuwe technologieën voor security in auto’s?

Een moderne auto beschikt tegenwoordig over een groot aantal geïntegreerde computersystemen om handelingen te kunnen uitvoeren. Sommige van deze handelingen zijn redelijk triviaal, zoals de centrale deurvergrendeling. Een aantal van deze systemen is echter van levensbelang en zorgt er bijvoorbeeld voor dat de remdruk niet wegvalt of airbags daadwerkelijk openklappen bij een crash.

Embedded systemen in auto’s

Een gemiddelde moderne auto bevat 70 tot 100 van deze embedded computersystemen. Zonder deze systemen komt een auto niet eens meer van de oprit af. Al deze systemen, aangedreven door firmware, omvatten samen gemiddeld 100 miljoen regels code. Ter vergelijking: de JSF heeft ongeveer een kwart aan regels code nodig.  (Bron: www.informationisbeautiful.net/visualizations/million-lines-of-code/)

security in auto

Het figuur hierboven illustreert de verschillende systemen in een auto en de interconnectie met de buitenwereld. Met de verschillende kleuren wordt aangegeven hoe de systemen vaak fysiek gegroepeerd zijn. TPMS staat voor tire pressure monitoring system, OBD voor on-board diagnostics, HVAC voor heat ventilation and air-conditioning en PSTN voor public switched telephone network. (Bron: www.globalcarsbrands.com/top-10-newest-car-technologies-that-have-revolu...)

Internet of Things

Naast de digitalisatie van de auto worden tegenwoordig steeds meer auto’s aan het internet gehangen. Er wordt verwacht dat in 2018 ongeveer 36 miljoen auto’s een simkaart hebben. In eerste instantie was deze alleen bedoeld om automatisch de alarmdienst te bellen bij een crash.  

Tegenwoordig wordt de simkaart voor meer doeleinden gebruikt, met veel nieuwe mogelijkheden voor autofabrikanten en autobestuurders. Veel van deze nieuwe functionaliteit, mogelijk gemaakt door o.a. IoT-toepassingen, biedt luxe aan de gebruiker en tegelijkertijd stapels data voor fabrikanten. Echter kleven er daarmee natuurlijk ook risico’s aan.

Firmware interessant voor hackers

Een van de nieuwe mogelijkheden van een simkaart is de over-the-air update, zodat een auto niet terug hoeft naar de garage als er een fout in de firmware wordt gevonden. Het risico hiervan is dat de firmware onderweg onderschept of gemanipuleerd kan worden. Er zijn veel partijen die de firmware in een auto interessant kunnen vinden. Denk daarbij niet alleen aan hackers, maar ook aan rivaliserende autofabrikanten, autotuners of zelfs terroristen. Tijdens het transport, de opslag en het gebruik van de firmware moeten onder andere betrouwbaarheid, integriteit en beschikbaarheid gewaarborgd zijn. 

Autofabrikanten verwarren security en safety

Als we naar recente en minder recente hacks van auto’s kijken, kunnen we concluderen dat de meeste autofabrikanten een aardige inhaalslag moeten maken op het gebied van security. Veel autofabrikanten verwarren namelijk security met safety en komen vaak met de resultaten van een elandtest als ernaar wordt gevraagd. Het is algemeen bekend dat wanneer een aanvaller fysieke toegang heeft tot een auto, hij makkelijk schade kan aanbrengen. De Jeep hack van 2015 toont echter aan dat er ook mogelijkheden zijn om auto’s van afstand te kunnen overnemen.

Nieuwe technologie betekent risico’s

Zijn deze ontwikkelingen bedreigend? Voorlopig is het nog niemand gelukt om New York plat te leggen door met één druk op de knop alle taxi’s uit te schakelen. Dit betekent echter niet dat we achterover kunnen leunen. Nieuwe technologie, zoals nu Internet of Things in moderne auto’s, brengt nou eenmaal risico’s met zich mee.

Security vanaf het ontwerp

Daarom is het van groot belang voor autofabrikanten om vanaf het moment van ontwerp tot aan oplevering aandacht te besteden aan security en dit een gewoonte maken. Daarmee kunnen in de toekomst veel triviale hacks voorkomen worden en een groot deel van het risico weggenomen worden. Denk daarbij bijvoorbeeld aan Secure Software Development (SSD) en penetration tests die veel leed of reputatieschade kunnen voorkomen.

Benieuwd naar de invloed van nieuwe technologie op security?

Wilt u weten welke security-aandachtspunten er zijn bij nieuwe technologie in auto’s of andere IoT-toepassingen? En bent u benieuwd naar de oplossingen hiervoor? Neem dan contact op met Rogier van Agt.