De snelheid van de technologische vooruitgang is enorm. Dit geldt ook voor autonome voertuigen. Autonoom vervoer wordt gezien als dé oplossing voor maatschappelijke problemen zoals files en ongelukken. Tegelijkertijd doen zich hierbij cybersecurityproblemen voor.
Voertuigen krijg steeds meer autonome functionaliteiten en volledig autonome voertuigen zijn dichterbij dan ooit. Doordat voertuigen steeds meer in verbinding staan met de directe omgeving ontstaan er nieuwe cybersecurityproblemen. Ook zijn er ontwikkelingen in de maatschappij met betrekking tot cybersecurity. Steeds vaker wordt het nieuws gedomineerd door cyberaanvallen met financiële motieven. Denk bijvoorbeeld aan de ransomware aanvallen in het voorjaar van 2017.
De link tussen autonoom vervoer en cybersecurity is nog niet gelegd
Weinig aandacht voor cyberrisico’s autonome auto’s
Ook voor autonome voertuigen ligt dit gevaar op de loer. Daarom neemt de noodzaak toe om autonome voertuigen weerbaar te maken tegen cyberaanvallen. Autonome voertuigen worden steeds kwetsbaarder door het hoge tempo waarin nieuwe functionaliteiten worden toegevoegd. Dit zorgt voor nieuwe technologische risico’s. Dat er weinig aandacht is voor de cybersecurity van autonome voertuigen heeft twee redenen. Ten eerste zijn voertuigfabrikanten van nature gesloten organisaties. Zij zien hun kennis en informatie als iets wat van hen is. Ze zullen dit niet zo snel delen met anderen. Daarnaast zijn autonome voertuigen voor velen nog een nieuw fenomeen en is cybersecurity ook onbekend. De link tussen autonoom vervoer en cybersecurity is daardoor niet snel gelegd.
Huidige auto’s niet ontworpen vanuit een securityperspectief
Er is een toenemende interesse van criminelen om voertuigen te hacken. Dit komt door de huidige architectuur en toenemende functionaliteiten van voertuigen. De architectuur van de huidige voertuigen is gedateerd en nooit ontworpen vanuit een securityperspectief. De huidige voertuigen met autonome functionaliteiten zijn daarom onvoldoende weerbaar tegen cyberdreigingen.
Nieuwe functionaliteiten brengen ook nieuwe cyberrisico’s met zich mee
Steeds meer voertuigen ondersteunen ‘over-the-air software updates’, dit zijn software updates via het internet. Voertuigfabrikanten voeren op afstand software updates uit zonder dat het voertuig naar een autogarage hoeft. Alleen een internetverbinding tussen het voertuig en de fabrikant is vereist. Consumenten worden steeds kritischer en verwachten meer functionaliteiten. Over-the-air software updates zijn dan ook essentieel om aan deze behoefte te kunnen voldoen. Dit soort updates brengen nieuwe risico’s met zich mee. Het is immers een manier om data van en naar voertuigen te versturen. Het is een extra toegangspunt om het voertuig van afstand te benaderen. Deze data kan gestolen worden en privacygevoelige informatie bevatten.
Waarom worden voertuigen gehackt?
Hackers hebben verschillende motieven om autonome voertuigen te hacken. De meest voor de hand liggende is financieel gewin. Door de toenemende rekenkracht in autonome voertuigen wordt er steeds meer data gegenereerd. Deze data is veel geld waard in de ogen van criminelen. Een hacker kan bijvoorbeeld een geldsom eisen om het voertuig weer te kunnen starten. Ook kan de hacker persoonlijke gegevens stelen en doorverkopen aan derden.
> Gerelateerd: Wat motiveert hackers?
Vakanties boeken vanuit de auto
In de nabije toekomst gaan inzittenden wellicht ook aankopen doen vanuit hun voertuig. In een autonoom voertuig is er namelijk tijd over voor andere zaken. Ze kunnen bestellingen plaatsen, online eten bestellen of een vakantie boeken vanuit het voertuig. Om dit te kunnen, dient het voertuig de financiële gegevens van inzittenden te kunnen inzien. Dit is een extra reden voor hackers om een voertuig te hacken.
Auto op afstand stilzetten om lading te stelen
Ook de logistieke sector is interessant voor hackers. Autonome voertuigen die goederen vervoeren kunnen gehackt worden om de besturing over te nemen. Zo kan het voertuig tot stilstand worden gebracht en kunnen ze de vracht stelen.
Niet omdat het moet, maar omdat het kan
Hacken als hobby of om een statement te maken
Er zijn ook mensen die autonome voertuigen hacken, omdat ze het leuk vinden. Dit kunnen onderzoekers zijn die een statement willen maken ten aanzien van de maatschappij. Ook zijn er zogeheten ‘script kiddies’ die vanuit hun zolderkamer autonome voertuigen proberen te hacken. Deze groep wil zichzelf bewijzen aan de omgeving of is gewoon verveeld. Zij hebben vaak niet in de gaten wat de gevolgen zijn van hun handelingen.
> Lees ook: Veel jongeren kunnen telefoon of computer hacken
Het overnemen van een vloot voertuigen kan fatale gevolgen hebben
Hacken als terreurdaad
Daarnaast zijn er ook criminelen die chaos willen veroorzaken. Zij hebben als doel om zoveel mogelijk voertuigen in één keer te hacken. Als een hacker weet hoe je een bepaald model moet hacken, kan hij vervolgens meerdere voertuigen van hetzelfde model hacken. Het overnemen van een vloot voertuigen kan fatale gevolgen hebben, bijvoorbeeld voor de inzittenden. Zij hebben nauwelijks invloed op de handelingen van het voertuig. Het voertuig maakt autonome beslissingen zonder interventie van inzittenden. De besturing op afstand overnemen kan leiden tot dodelijke slachtoffers onder zowel inzittenden als omstanders. Het voertuig kan ingezet worden als wapen om zo met opzet omstanders te verwonden. Dit kan een verkeerschaos veroorzaken en uiteindelijk economische gevolgen hebben. Denk bijvoorbeeld aan steden die ontwricht raken en dichtslibben door toedoen van hackers.
> Gerelateerd: Hoe wordt de smart city veilig?
Noodknop aanbrengen in de auto om hack te stoppen
Daarnaast heeft dit consequenties voor voertuigfabrikanten. Door hacks moeten er terugroepacties plaatsvinden van voertuigen en ondervinden fabrikanten reputatie- en imagoschade. Sommige voertuigfabrikanten zijn dan ook bezig met een zogenoemde ‘noodknop’. Dit is een knop aan boord van het voertuig die door inzittenden ingedrukt kan worden. Hiermee komt het voertuig tot stilstand. Dit is nuttig als een inzittende merkt dat de controle van het voertuig wordt overgenomen.
Overheid moet voortouw nemen
Om dergelijke scenario’s te voorkomen, is het van groot belang dat security in de gehele levenscyclus van het voertuig wordt opgenomen. Hiermee kan een integrale aanpak geborgd worden. Omdat er steeds meer kwetsbaarheden ontdekt worden, speelt de overheid een cruciale rol. De overheid moet samen met de industrie het voortouw nemen. Het belang van cybersecurity wordt steeds groter voor de industrie, maar dit is niet genoeg. De huidige standaard is nog steeds ondermaats en momenteel zijn er meer problemen dan oplossingen. Investeringen vanuit de industrie zijn cruciaal en gelukkig nemen deze de laatste jaren toe.
Een holistische aanpak is essentieel om cybercriminaliteit tegen te gaan
Tekort aan security-geschoold personeel
Er komen steeds meer organisaties die zich specialiseren in de cybersecurity van autonome voertuigen. Wat er nog ontbreekt is een totaaloplossing voor het gehele voertuig. Een dergelijke holistische aanpak is essentieel om cybercriminaliteit tegen te gaan. Voertuigfabrikanten hebben echter een tekort aan goed geschoold personeel. Diepgaande securitykennis van voertuigen is niet aanwezig of lastig te verkrijgen. Ook dienen voertuigfabrikanten meer kennis met elkaar te gaan delen. Zo kan de industrie als een geheel optreden tegen cyberdreigingen. Dit vergt wel een verandering in de denkwijze van voertuigfabrikanten.
Inzicht in gevaar essentieel om autonome voertuigen weerbaar te maken tegen cyberaanvallen
Er zijn enkele scenario’s beschreven, waarin hackers serieuze schade kunnen aanrichten aan inzittenden en omstanders. Dit is niet het enige, het kan ook impact hebben op de maatschappij. Voertuigen rijden op iedere denkbare plek rond en kunnen gemakkelijk ingezet worden als wapen. De opkomst van autonome voertuigen is echter niet meer tegen te houden. Alhoewel autonome voertuigen in de toekomst veel zullen opleveren, moet men altijd bewust zijn van de gevaren. Als deze gevaren niet serieus worden genomen, zouden autonome voertuigen voor veel problemen kunnen zorgen. Het inzicht in gevaar is essentieel om autonome voertuigen weerbaar te maken tegen cyberaanvallen.
Dit artikel is een aangepaste en beknopte versie van de masterscriptie van Jasper Thomas: ‘Cybersecurity and autonomous vehicles – a roadmap for the future’ (Erasmus University Rotterdam, 2018). Met deze scriptie won Jasper afgelopen najaar de ASIS Benelux Student Award 2018.
Meer over cybersecurity: