Mensen veilig houden met cybersecurity in de auto - hoe Threat Modeling kan helpen

Voertuigen die gehackt worden, slimme auto's die gekaapt worden: deze risico's zijn reëel. Welke risico's moeten fabrikanten aanpakken? Hoe brengt u deze bedreigingen in kaart? Specialist in beveiliging van auto's Anna Prudnikova deelt haar inzichten.

... > Threat Modeling > Hoe Threat Modeling de beveiliging van auto's kan verbeteren

Automotive-risico's identificeren met Threat Modeling

Interview met Anna Prudnikova, Automotive Security Specialist bij Bureau Veritas Cybersecurity.

Quote by

Anna Prudnikova

Quote by

Liesbeth Sparks

Auteur: Liesbeth Sparks, Content Writer bij Bureau Veritas Cybersecurity.

Onveilige voertuigen hebben gevolgen voor de veiligheid van de mens. Daarom richten regelgevende instanties zich sterk op cybersecurity-maatregelen voor de auto-industrie.

Het kan lastig zijn om te bepalen welke bedreigingen relevant zijn, zegt Anna Prudnikova, beveiligingsspecialist voor de auto-industrie bij Bureau Veritas Cybersecurity: "Cyberbeveiliging is een relatief nieuw onderwerp voor fabrikanten en het meest ingewikkelde is om aan de slag te gaan met de juiste expertise aan boord.

Met welke uitdagingen wordt de auto-industrie geconfronteerd? En hoe helpt Threat Modeling bij het aanpakken van deze uitdagingen?

De cyberrisico's voor de automobielsector nemen toe

Security in de auto-industrie groeit snel, ziet Prudnikova. In 2015 slaagde een groep onderzoekers, zogenaamde ethische hackers, erin om een Jeep te hacken. Ze namen de volledige controle over de auto over en reden deze vervolgens van de weg af. Als gevolg daarvan moest Jeep ongeveer een miljoen voertuigen terugroepen om ze te updaten. Dit was de eerste spraakmakende cyberaanval op een auto", legt Prudnikova uit. Het toonde aan dat door op afstand de controle over de auto over te nemen, je de veiligheid van mensen kunt beïnvloeden. Het toonde aan dat je niet alleen de controle over de auto op afstand kunt overnemen, maar ook de veiligheid van mensen.

En het gaat niet alleen om het overnemen van de volledige controle over een voertuig", zegt ze. Ik herinner me dat ik een paar jaar geleden met mijn ouders in Parijs was. Ze hadden een BMW met een draadloze sleutel. De auto stond geparkeerd op een betaalde parkeerplaats in Parijs. Iemand kloonde het signaal van de sleutel en hackte de auto.

Dit was allemaal enkele jaren geleden, maar de bedreigingen worden alleen maar groter, zegt Prudnikova. Je kunt de tools om het signaal van een draadloze sleutel te kopiëren en een auto te kapen voor ongeveer honderd dollar kopen op AliExpress, afhankelijk van het merk dat je wilt aanvallen. En het gaat niet alleen om de auto's zelf, maar ook om de groeiende connectiviteit met allerlei andere systemen. Neem bijvoorbeeld slimme verkeerslichten: over vijf jaar zullen voertuigen hiervan over de hele wereld geïmplementeerd worden. Als u een auto kunt hacken en deze auto stuurt een signaal naar het slimme stoplicht, dan kunt u zelfs andere netwerken binnendringen. Dit is een reële dreiging waar we ons bewust van moeten zijn en die regelgevers proberen aan te pakken.

Anna

Anna Prudnikova

Specialist in beveiliging voor auto's

Secura

We hebben Threat Modeling uitgevoerd op twee deuren van een bus. We hebben meer dan dertig bedreigingen geïdentificeerd.

Cybersecurity regelgeving helpt de autosector veilig te houden

Al deze cyberincidenten en groeiende dreigingen onderstrepen de noodzaak van regelgeving. Op dit moment zijn er twee belangrijke regelgevingen op het gebied van cybersecurity voor de auto-industrie. Beide zijn uitgevaardigd door UNECE, de Economische Commissie voor Europa van de Verenigde Naties. UNECE R155 richt zich op cybersecurity in het algemeen, UNECE R156 richt zich meer op software-updates.

UNECE omvat 56 landen in Noord-Amerika, Europa en Azië. Als u uw voertuig in een van deze landen op de markt wilt brengen, moet u een typegoedkeuring hebben, dus moet het voertuig gepentest worden en moet u risk assessments doen.

Compliance met deze regelgeving vormt een hoofdpijndossier: ze is complex en het kan ontmoedigend zijn om er doorheen te navigeren. Fabrikanten moeten cybersecurity niet alleen technisch in hun voertuigen implementeren, maar het ook daadwerkelijk doorvoeren in de hele levenscyclus van hun voertuigfabricage. Het overbruggen van de kloof tussen kennis van voertuigtechniek en cybersecurity is de meest complexe taak. Maar door ze na te leven, worden de risico's van een regelrechte cyberaanval zoals die op Jeep in 2015 aanzienlijk kleiner, en kunnen we mensen veilig houden.

Threat Modeling kan zelfs risico's voor eenvoudige systemen blootstellen

Ja, cybersecurity-risico's zijn reëel voor zowat elk voertuig. Alle nieuwe voertuigen hebben slimme functies. Zelfs als je geen echte draadloze verbinding hebt, heb je altijd een fysieke OBD-poort. We zagen dit toen we onlangs een sessie Threat Modeling deden voor het deursysteem van een bus. Dit systeem is niet sterk verbonden, er is geen IoT, geen draadloze verbinding. Er zijn twee deuren en dat is het. Wat kan er fout gaan? Het is maar een deur. Maar we hebben ongeveer dertig bedreigingen geïdentificeerd.

We ontdekten bijvoorbeeld dat een aanvaller de fysieke OBD-poort, die gebruikt wordt om een laptop voor onderhoud aan te sluiten op het deursysteem, zou kunnen kapen. Het enige wat ze hoeven te doen is: manipuleren van een paar parameters. Dan zouden ze de deuren open kunnen forceren terwijl de bus rijdt".

In dit geval was de oplossing heel eenvoudig: zet een slot op het kastje met de OBD-poort en beperk de toegang. Maar als we in staat waren om 30 bedreigingen te identificeren voor een eenvoudig busdeursysteem, kunt u zich voorstellen hoeveel bedreigingen er zouden kunnen zijn voor een volledig verbonden auto.

Diensten voor auto's

Threat Modeling

Secura Threat Modeling Service

Threat Modeling helpt u om potentiële bedreigingen te identificeren voordat ze werkelijkheid worden.

Diensten van de VN/ECE

Automotive supplier

Laat ons u helpen met volledige UNECE compliance, van een Gap Assessment tot voorbereiding op certificering.

Apparaat testen

Jasper 3

Hebt u hulp nodig bij het testen van uw apparaten? Onze testers kunnen u helpen bij het vinden van mogelijke kwetsbaarheden.

Meer informatie

Hebt u hulp nodig bij het identificeren van de belangrijkste bedreigingen voor uw voertuig, voertuigonderdeel of productiesysteem? Bureau Veritas Cybersecurity kan een workshop Threat Modeling uitvoeren om u te helpen de bedreigingen te bepalen, deze te beperken en u voor te bereiden op certificering volgens de UNECE-normen. Vul het formulier in en wij nemen binnen één werkdag contact met u op.

USP

Waarom kiezen voor Bureau Veritas Cybersecurity

Bureau Veritas Cybersecurity is uw specialist op het gebied van digitale veiligheid. Wij ondersteunen organisaties bij het in kaart brengen van risico’s, het verbeteren van hun verdediging en het naleven van wet- en regelgeving. Onze dienstverlening bestrijkt mens, proces en technologie: van awareness-trainingen en social engineering tot advies, compliance en technische beveiligingstests.

We werken in IT-, OT- en IoT-omgevingen en ondersteunen zowel digitale systemen als verbonden producten. Met ruim 300 cybersecurity-specialisten wereldwijd combineren we diepgaande technische kennis met internationale slagkracht. Bureau Veritas Cybersecurity is onderdeel van Bureau Veritas Group, wereldwijd actief in testen, inspectie en certificering.