- Geen kwestie van of het gebeurt, maar wanneer het gebeurt
- Autofabrikanten nemen hun verantwoordelijkheid
- Risico dat je auto wordt gehackt: afhankelijkheid van fabrikant is goed?
- “Ik zou gewoon lekker blijven rijden”
- LEES OOK: Geen ChatGPT, maar FraudGPT: cybercriminelen gebruiken AI-chatbot om mensen op te lichten
Nu moderne auto’s steeds meer gezien worden als rijdende computers, is het logisch dat we ons niet alleen maar zorgen maken over de autodief, maar ook over cybercriminelen die mogelijk ons kostbare bezit kunnen hacken.
Het is dan ook niet vreemd als je je afvraagt of jouw Tesla doelwit kan zijn van een ransomware-aanval. Dat de software van auto’s te kraken is, lijdt weinig twijfel.
Het scenario dat een cybercrimineel jouw bolide vanaf afstand op slot zet met bijvoorbeeld ransomware, is ook denkbaar. De kans is immers best groot dat je bereid bent om te betalen, zodat je gewoon naar je werk of op vakantie kunt.
Moderne auto’s staan steeds vaker continu in verbinding met het internet en kunnen bijvoorbeeld zelf updates installeren en nieuwe apps of functionaliteiten downloaden. Dat zijn allemaal haakjes die de cybercrimineel kan gebruiken om zichzelf toegang tot de software in de auto te verschaffen.
Het lijkt erop dat er hiervan in de toekomst alleen maar meer komen. De verwachting is bijvoorbeeld dat auto’s meer met elkaar en met de omliggende infrastructuur gaan communiceren.
Niet onbelangrijk wat betreft het risico dat je auto gehackt wordt, is bovendien dat je zelf geen enkele inbreng hebt bij het beveiligen van je auto. Je kunt geen firewall of antivirussoftware installeren. Je bent volledig afhankelijk van de autofabrikant en moet deze op zijn blauwe ogen geloven dat hij je veiligheid serieus neemt. In het ergste geval heb je niet eens de optie om de internetverbinding af te kappen.
Ogenschijnlijk biedt dit voor de cybercrimineel een perfecte combinatie van factoren: een doelwit dat relatief veel ingangen heeft om te hacken, met een eigenaar die gemotiveerd is om te betalen en zelf niets kan ondernemen, omdat hij volledig afhankelijk is van de autofabrikant. Met andere woorden: een hulpeloos slachtoffer.
Links: Jan Heijdra van Cisco. Rechts: Dharminder Debisarun van Palo Alto Networks
Maar hoe kan het dan dat we nog weinig tot niets over gehackte auto’s horen. “Dat is makkelijk te verklaren als je kijkt naar hoe ransomware nu werkt”, zegt Jan Heijdra, cybersecurity specialist van Cisco, tegen Business Insider Nederland. “Technisch is het mogelijk, maar we zien het op dit moment nog niet dat het in het businessmodel van ransomwaregroepen past.”
Met dat laatste verwijst Heijdra naar de wens van criminele organisaties om zo snel en makkelijk mogelijk veel geld te verdienen. Daarom richten ze zich vaak op grotere organisaties. Daarbij is het makkelijker om binnen te komen, aangezien de kans groter is dat er één medewerker van het bedrijf op een verkeerde link klikt en de ransomware-infectie mogelijk maakt. Daarnaast spelen er grotere gevolgen voor het bedrijf mee, waardoor er hogere geldbedragen gevraagd kunnen worden.
Een auto vastzetten met ransomware is vrijwel precies het tegenovergestelde van dit model. Er zijn heel veel verschillende soorten auto’s met hun eigen software en allemaal andere toegangspunten. Het is dus lastig om grootschalige aanvallen in te zetten, omdat er specifieke malware voor elk automodel geschreven moet worden.
Daarnaast is er een kleinere kans van succesvolle infectie, wat vervolgens leidt tot een kleinere kans van slagen. Daartegenover staat dan als beloning een veel lager geldbedrag, want een gemiddelde auto-eigenaar heeft doorgaans geen miljoenen euro’s op de bankrekening. Kortom: veel werk voor weinig geld.
Geen kwestie van of het gebeurt, maar wanneer het gebeurt
Cybersecurity-specialist Dharminder Debisarun van Palo Alto Networks ziet ransomware in een auto als iets wat zeker potentieel heeft voor cybercriminelen. “Als je het vanuit het perspectief van de crimineel bekijkt, dan zal die niet zo snel geïnteresseerd zijn in het hacken van één auto. Die zal zich richten op een hele vloot. Neem een merk, pak daar de hele vloot van en je hebt het over serieus geld”, zegt hij tegen Business Insider Nederland.
Het doelwit van de crimineel verschuift daarmee van auto-eigenaar naar autofabrikant. Die heeft in dit soort gevallen alleen al motivatie om te betalen om een mogelijke hack van diens auto’s uit het nieuws te houden.
In het geval van de autobezitter is het antwoord daarop vrij simpel: helemaal niets. De twee experts stellen beide dat je als automobilist volledig afhankelijk bent van de autofabrikant en de manier waarop deze omgaat met de digitale veiligheid van jouw vierwieler. Je kunt immers zelf geen virusscanner installeren of bepalen dat jouw specifieke auto helemaal geen verbinding met het internet mag hebben.
Autofabrikanten nemen hun verantwoordelijkheid
Gelukkig zien zowel Heijdra als Debisarun dat de autofabrikanten waar zij mee te maken hebben, de zaken goed op orde hebben en sowieso voldoen aan alle Europese standaarden die vereist zijn. En ja, dat betekent inderdaad dat Europa zich ook met deze kwestie bemoeit.
De beleidsmakers zagen enkele jaren terug de gevaren al ontstaan en voerden in 2021 meerdere standaarden in. Deze worden continu bijgewerkt, maar zoals met alle standaarden het geval is, lopen ook deze toch achter de feiten aan, stelt Debisarun.
Toch nemen de autofabrikanten hun verantwoording, zelfs als het aankomt op onderdelen die door derden laten produceren. Heijdra legt uit dat Cisco bijvoorbeeld een partij is die ingehuurd kan worden om dit soort onderdelen op veiligheid te testen voordat ze door de autofabrikant in gebruik genomen worden.
En Palo Alto Networks levert onder andere beveiligingssoftware die elke byte die naar een auto gezonden wordt nog voor aankomst gecontroleerd heeft op veiligheid. Daarmee vangen beide partijen preventief al veel risico’s af.
Maar toch kan het nog altijd fout gaan. Malware in een onderdeel van een derde kan gemist worden, waardoor een infectie denkbaar is. Maar ook een software-update kan een fout bevatten waardoor er toegang tot een auto te krijgen is. Daarmee komen we terug op de vraag die Debisarun eerder stelde: “hoe ga je ermee om?”
In het geval van hack gaat het vooral om tijd kopen om het probleem op te lossen. Daarom heeft de autofabrikant in de auto auto meerdere veiligheidsopties ingebouwd. Zo kunnen twee componenten alleen met elkaar communiceren als ze daartoe van beide toestemming hebben en als het nodig is. Daarmee wordt een infectie al beperkt tot het onderdeel waar de hacker toegang kreeg.
Autofabrikanten hebben hun zaakjes goed op orde.
Risico dat je auto wordt gehackt: afhankelijkheid van fabrikant is goed?
Normaliter zou je denken dat complete afhankelijkheid van iemand anders voor je eigen veiligheid op zijn minst ongewenst is. Maar in dit geval lijkt precies het tegenovergestelde waar. Omdat autofabrikanten veiligheid (niet alleen digitaal, maar ook fysiek) hoog in het vaandel hebben, doen ze er heel veel aan om zoveel mogelijk risico’s af te dekken.
Als je die verantwoordelijkheid bij de automobilist zou leggen, wordt het een heel ander verhaal. Dan is de motivatie niet zo hoog om bijvoorbeeld alleen al een firewall te installeren, omdat dit extra kosten met zich meebrengt en de risico’s van een hack altijd lager worden ingeschat dan dat ze daadwerkelijk zijn.
Door het verschuiven van de verantwoordelijkheid, komt de autofabrikant wel voor een extra kostenpost te staan. Het is dan ook de vraag hoe lang deze dit wil blijven dragen. Vanuit de Europese Unie is vastgesteld dat een autofabrikant een auto voor de levensduur moet blijven ondersteunen.
“Auto’s hebben een levensduur van misschien wel 20, 25 jaar, sommige misschien nog wel langer”, zegt Heijdra. “De EU is bezig is met regelgeving om daar in ieder geval een borging in te gaan stellen. Dat het voor de levensduur in ieder geval de basis veilig blijft. Het doet dit met de CRA, de Cyber Resilience Act, die leveranciers van hardware en software dwingt om met updates ervoor te zorgen dat de software van de auto blijft voldoen aan de standaarden als het gaat om security.”
Een bijkomend probleem is de steeds hoger wordende kostenpost die autofabrikanten moeten slikken om al het bovenstaande gedaan te krijgen. Volgens Debisarun zullen we in de toekomst daarom meer abonnementsdiensten gaan zien in een poging om de kosten voor cybersecurity af te dekken. “Waar je het als autofabrikant van moet gaan hebben, is van de services. Allerlei applicaties die het leven van de bestuurder makkelijker maken. En ja, daarmee wordt security nog belangrijker”, legt hij uit verwijzend naar een vicieuze cirkel waar de autofabrikant zich nu in bevindt.
“Ik zou gewoon lekker blijven rijden”
Maar waar staan we dan als automobilist? Moeten we zelf voorbereidingen treffen, of ons überhaupt zorgen maken? “Nee, ik zou gewoon lekker blijven rijden”, zegt Debisarun. “De autobouwers, die hebben dit wel onder controle.”
“Gelukkig is er nog niets op een grote schaal gebeurd. Maar elke autofabrikant houdt rekening met verschillende scenario’s en ze doen er ook uiterst hun best voor met allerlei zo goed mogelijk te testen en te monitoren”, legt Debisarun uit. “Met elke firmware-update wordt er weer opnieuw getest en wordt er hierna weer een stap terug gezet en begint het weer opnieuw. Het gaat om monitoren, continu monitoren.”
Zijn er dan echt geen dingen die zelf kunt doen om de kansen op een hack te verkleinen? “Jawel, die zijn er wel, maar dan kom je al snel bij de algemene punten uit”, zegt Heijdra. “Dingen als ervoor zorgen dat je altijd de laatste updates van auto-apps geïnstalleerd hebt en niet op vreemde meldingen klikt. Daarnaast kan je nog verder gaan door bijvoorbeeld je laadpaal of auto op een apart wifi-netwerk aan te sluiten. En vraag je bij elke stap af of het nodig is om privacy-gevoelige data met de autofabrikant te delen. Als dat niet nodig is, zet deze optie dan uit.”
Hoewel het dus allemaal goed voor elkaar lijkt, is er toch een punt van aandacht voor de autofabrikanten: communicatie. “Cybersecurity in het algemeen is een ding waar we ook te weinig bij stilstaan”, zegt Debisarun. “De autobouwer zou eigenlijk aan zijn klanten moeten communiceren wat ze doen en hoe ze je veilig houden. Daar begint het, maar is ook ruimte voor verbetering.”
