Bescherming van de elektrische en softwaregedefinieerde auto

“Poetin is advertentiehoofd. Eer aan Oekraïne."

Dat lezen gehackte opladers voor elektrische voertuigen onlangs onder andere bij gehandicapte laadstations in de buurt van Moskou. En hoezeer het ook een glimlach op de gezichten van velen over de hele wereld tovert, het benadrukt een punt dat is gemaakt door verschillende onderzoekers en ontwikkelaars die vorige week bijeenkwamen op escar 2022 (een conferentie die zich elk jaar richt op diepgaande, technische ontwikkelingen op het gebied van cyberbeveiliging in de autosector): auto-hacks zijn in opkomst. Sterker nog, per Het rapport van Upstream Automotiveis de frequentie van cyberaanvallen tussen 225 en 2018 met maar liefst 2021% toegenomen, waarbij 85% op afstand werd uitgevoerd en 54.1% van de hacks in 2021 ‘Black Hat’ (ook wel kwaadaardige) aanvallers waren.

Terwijl we op deze conferentie naar verschillende, uit de praktijk afkomstige rapporten luisterden, werden een paar dingen duidelijk: er is zowel goed nieuws als slecht nieuws, gebaseerd op de altijd vereiste focus op dit kritieke gebied.

Het slechte nieuws

In de meest eenvoudige bewoordingen is het slechte nieuws dat technologische vooruitgang de waarschijnlijkheid van gebeurtenissen op Dag Eén alleen maar waarschijnlijker maakt. “Elektrische voertuigen creëren meer technologie, wat betekent dat er meer bedreigingen en bedreigingsoppervlakken zijn”, aldus Jay Johnson, een hoofdonderzoeker van Sandia National Laboratories. “Er zijn in 46,500 al 2021 laders beschikbaar, en tegen 2030 suggereert de marktvraag dat dit er ongeveer 600,000 zullen zijn.” Johnson ging verder met het afbakenen van de vier belangrijkste raakvlakken en een voorlopige subset van geïdentificeerde kwetsbaarheden, samen met aanbevelingen, maar de boodschap was duidelijk: er moet een voortdurende ‘oproep tot de wapens’ komen. Dat is volgens hem de enige manier om zaken als de Denial of Service (DoS)-aanvallen in Moskou te voorkomen. “Onderzoekers blijven nieuwe kwetsbaarheden identificeren”, zegt Johnson, “en we hebben echt een alomvattende aanpak nodig voor het delen van informatie over afwijkingen, kwetsbaarheden en reactiestrategieën om gecoördineerde, wijdverbreide aanvallen op de infrastructuur te voorkomen.”

Elektrische auto’s en de bijbehorende laadstations zijn niet de enige nieuwe technologieën en bedreigingen. Het ‘softwaregedefinieerde voertuig’ is een semi-nieuw architectonisch platform (*aantoonbaar meer dan 15 jaar geleden gebruikt door General MotorsGM
en OnStar) dat sommige fabrikanten op weg zijn om de strijd aan te gaan met de miljarden dollars worden verspild op het voortdurend herontwikkelen van elk voertuig. De basisstructuur houdt in dat een groot deel van de hersenen van het voertuig buitenboord wordt gehost, wat hergebruik en flexibiliteit binnen de software mogelijk maakt, maar ook nieuwe bedreigingen met zich meebrengt. Volgens hetzelfde Upstream-rapport was 40% van de aanvallen van de afgelopen jaren gericht op back-endservers. “Laten we onszelf niet voor de gek houden”, waarschuwt Juan Webb, algemeen directeur van Kugler Maag Cie, “er zijn veel plaatsen in de autoketen waar aanvallen kunnen plaatsvinden, variërend van productie tot dealers en externe servers. Waar de zwakste schakel bestaat die het goedkoopst te penetreren is en de grootste financiële gevolgen heeft, daar zullen de hackers aanvallen.”

Daarin was een deel van wat op escar werd besproken het slechte nieuws-goede nieuws (afhankelijk van je perspectief) van de VN/ECE-regelgeving wordt deze week van kracht voor alle nieuwe voertuigtypen: fabrikanten moeten een robuust Cybersecurity Management System (CSMS) en Software Update Management System (SUMS) laten zien zodat voertuigen kunnen worden gecertificeerd voor verkoop in Europa, Japan en uiteindelijk Korea. “Het voorbereiden op deze certificeringen is geen geringe inspanning”, zegt Thomas Liedtke, een cybersecurity-specialist eveneens van Kugler Maag Cie.

Het goede nieuws

Eerst en vooral is het beste nieuws dat bedrijven de strijdkreet hebben gehoord en minimaal zijn begonnen met het aanleren van de nodige nauwkeurigheid om de bovengenoemde Black Hat-vijanden te bestrijden. “In 2020-2022 hebben we een toename gezien van bedrijven die een Threat Analysis and Risk Assessment of TAR willen uitvoerenAR
A”, zegt Liedtke. “Als onderdeel van deze analyses is de aanbeveling geweest om ons te concentreren op op afstand bestuurde aanvalstypen, omdat deze tot hogere risicowaarden leiden.”

En al deze analyses en nauwgezetheid lijken in eerste instantie effect te hebben. Volgens een rapport van Samantha (“Sam”) Isabelle Beaumont van IOActive werd slechts 12% van de kwetsbaarheden die in hun penetratietests van 2022 werden aangetroffen als ‘kritieke impact’ beschouwd, tegenover 25% in 2016, en slechts 1% was ‘kritieke waarschijnlijkheid’ versus 7% in 2016. “We zien dat de huidige strategieën voor risicosanering hun vruchten beginnen af ​​te werpen”, zegt Beaumont. “De industrie wordt steeds beter in het bouwen van betere producten.”

Betekent dit dat de sector klaar is? Zeker niet. “Dit alles is een continu proces van het versterken van de ontwerpen tegen evoluerende cyberaanvallen”, suggereert Johnson.

Ondertussen vier ik het laatste goede nieuws dat ik heb verzameld: de Russische hackers zijn bezig met het hacken van Russische activa in plaats van mijn sociale media-feed.