“Poetin is advertentiehoofd. Eer aan Oekraïne."
Dat lezen gehackte opladers voor elektrische voertuigen onlangs onder andere bij gehandicapte laadstations in de buurt van Moskou. En hoezeer het ook een glimlach op de gezichten van velen over de hele wereld tovert, het benadrukt een punt dat is gemaakt door verschillende onderzoekers en ontwikkelaars die vorige week bijeenkwamen op escar 2022 (een conferentie die zich elk jaar richt op diepgaande, technische ontwikkelingen op het gebied van cyberbeveiliging in de autosector): auto-hacks zijn in opkomst. Sterker nog, per Het rapport van Upstream Automotiveis de frequentie van cyberaanvallen tussen 225 en 2018 met maar liefst 2021% toegenomen, waarbij 85% op afstand werd uitgevoerd en 54.1% van de hacks in 2021 ‘Black Hat’ (ook wel kwaadaardige) aanvallers waren.
Terwijl we op deze conferentie naar verschillende, uit de praktijk afkomstige rapporten luisterden, werden een paar dingen duidelijk: er is zowel goed nieuws als slecht nieuws, gebaseerd op de altijd vereiste focus op dit kritieke gebied.
Het slechte nieuws
In de meest eenvoudige bewoordingen is het slechte nieuws dat technologische vooruitgang de waarschijnlijkheid van gebeurtenissen op Dag Eén alleen maar waarschijnlijker maakt. “Elektrische voertuigen creëren meer technologie, wat betekent dat er meer bedreigingen en bedreigingsoppervlakken zijn”, aldus Jay Johnson, een hoofdonderzoeker van Sandia National Laboratories. “Er zijn in 46,500 al 2021 laders beschikbaar, en tegen 2030 suggereert de marktvraag dat dit er ongeveer 600,000 zullen zijn.” Johnson ging verder met het afbakenen van de vier belangrijkste raakvlakken en een voorlopige subset van geïdentificeerde kwetsbaarheden, samen met aanbevelingen, maar de boodschap was duidelijk: er moet een voortdurende ‘oproep tot de wapens’ komen. Dat is volgens hem de enige manier om zaken als de Denial of Service (DoS)-aanvallen in Moskou te voorkomen. “Onderzoekers blijven nieuwe kwetsbaarheden identificeren”, zegt Johnson, “en we hebben echt een alomvattende aanpak nodig voor het delen van informatie over afwijkingen, kwetsbaarheden en reactiestrategieën om gecoördineerde, wijdverbreide aanvallen op de infrastructuur te voorkomen.”
Elektrische auto’s en de bijbehorende laadstations zijn niet de enige nieuwe technologieën en bedreigingen. Het ‘softwaregedefinieerde voertuig’ is een semi-nieuw architectonisch platform (*aantoonbaar meer dan 15 jaar geleden gebruikt door General Motors
Daarin was een deel van wat op escar werd besproken het slechte nieuws-goede nieuws (afhankelijk van je perspectief) van de VN/ECE-regelgeving wordt deze week van kracht voor alle nieuwe voertuigtypen: fabrikanten moeten een robuust Cybersecurity Management System (CSMS) en Software Update Management System (SUMS) laten zien zodat voertuigen kunnen worden gecertificeerd voor verkoop in Europa, Japan en uiteindelijk Korea. “Het voorbereiden op deze certificeringen is geen geringe inspanning”, zegt Thomas Liedtke, een cybersecurity-specialist eveneens van Kugler Maag Cie.
Het goede nieuws
Eerst en vooral is het beste nieuws dat bedrijven de strijdkreet hebben gehoord en minimaal zijn begonnen met het aanleren van de nodige nauwkeurigheid om de bovengenoemde Black Hat-vijanden te bestrijden. “In 2020-2022 hebben we een toename gezien van bedrijven die een Threat Analysis and Risk Assessment of TAR willen uitvoeren
En al deze analyses en nauwgezetheid lijken in eerste instantie effect te hebben. Volgens een rapport van Samantha (“Sam”) Isabelle Beaumont van IOActive werd slechts 12% van de kwetsbaarheden die in hun penetratietests van 2022 werden aangetroffen als ‘kritieke impact’ beschouwd, tegenover 25% in 2016, en slechts 1% was ‘kritieke waarschijnlijkheid’ versus 7% in 2016. “We zien dat de huidige strategieën voor risicosanering hun vruchten beginnen af te werpen”, zegt Beaumont. “De industrie wordt steeds beter in het bouwen van betere producten.”
Betekent dit dat de sector klaar is? Zeker niet. “Dit alles is een continu proces van het versterken van de ontwerpen tegen evoluerende cyberaanvallen”, suggereert Johnson.
Ondertussen vier ik het laatste goede nieuws dat ik heb verzameld: de Russische hackers zijn bezig met het hacken van Russische activa in plaats van mijn sociale media-feed.
Bron: https://www.forbes.com/sites/stevetengler/2022/06/28/cybersecurity-risks-protecting-the-electric-and-software-gedefinieerde-car/