Stappenplan voor cyber security zelfrijdende auto

donderdag 16 februari 2017
timer 3 min

Recent onderzoek inventariseerde en rubriceerde talloze hackrisico’s van connected en zelfrijdende auto’s. Het is tijd om de ICT-architectuur in deze rijdende computers grondig te herzien om de fysieke consumentenveiligheid te garanderen. De Cyber Security Academy, TU Delft en Universiteit Leiden leveren samen een stappenplan voor iedere actor om de cyber security van personenauto’s te verbeteren. Opdracht aan de overheid: Zorg voor kaders en regelgeving. 

Lees hier de lange versie van het artikel.

In dit onderzoek is de weinige literatuur over cybersecurity in relatie tot connected auto’s via interviews geverifieerd. Zo zijn er interviews gehouden met de overheid (RDW), kennisbedrijven, een verzekeringsorganisatie, brancheorganisaties, fabrikanten en diverse andere belanghebbenden in de automotive industrie. Ten slotte is er een enquête gehouden om de gevonden resultaten te controleren. 

Het onderzoek heeft de technische aanvalsvectoren geïnventariseerd en een hackeranalyse analyse gemaakt. Deze bevindingen zijn gecombineerd en vertaald naar concrete stappen die de automotive sector in brede zin kan nemen om auto’s cyber secure te maken. 

Aanvalsvectoren

De aanvalsvectoren beslaan vier categorieën: directe fysieke toegang, een indirecte fysieke aanval (hiervoor heeft de aanvaller een drager nodig om in de ICT systemen van de auto te komen), draadloze aanvallen via bluetooth, WiFi of mobiele telefoon en ten slotte, het misleiden van de sensoren met valse informatie.

Hackerprofiel

Er bestaat niet één soort hacker. Literatuur geeft aan dat de motivatiefactoren van hackers terug te brengen zijn tot: geld, kennis, macht, ‘voor de lol en omdat het technisch kan’ en mensen die een statement willen maken. Wat in de nadere analyse van deze groepen opvalt is dat de ‘ethische hacker’ en de ‘black hat hacker’ de grootste risico groep vormen. De black hat hacker wil er financieel op vooruit gaan en de ethische hacker wil aantonen dat de huidige architectuur en configuratie van de connected auto niet cyber secure is. Het risico van de ethische hacker kan overigens

effectief worden gemitigeerd door het publiceren van een ‘responsible disclosure’ procedure.

Stappen

Ten slotte zijn concrete stappen gedefinieerd die de afzonderlijke actoren in de automotive sector zelf kunnen nemen om auto’s cyber secure te maken. Dat wil zeggen: de autofabrikant, overheid, verzekeraars, brancheorganisaties, netwerk providers en eindgebruikers. In het onderzoeksrapport staat een gedetailleerde roadmap per actor beschreven.

Overheid

Ook voor de overheid is een duidelijke taak beschreven. Niet alleen moet er adequate wetgeving worden opgesteld over aansprakelijkheid en weggebruik, maar ook dient de overheid de kaders te geven waarin de automotive industrie zich mag bewegen. Zonder deze kaders is er een verlammende onzekerheid die de automotive industrie niet zelf kan oplossen en invullen. Fabrikanten willen wel investeren in de cyber security van auto’s, maar dan wel met de zekerheid dat het geen weggegooid geld is. Zo moet de overheid de vraag beantwoorden van wie de data is die de connected auto verzamelt. Nu is het zo dat de verzamelde data naar diverse partijen gaat en de eindgebruiker zich daar niet bewust van is. Ook in het kader van de GDPR (Europese General Data Protection Regulation) is dat een interessant vraagstuk. 

 

 

Lees hier het onderzoeksrapport.

 
Auteur: Herbert Leenstra, KPN / Jan van den Berg, TU Delft en Universiteit Leiden / Bert van Wee, TU Delft

verkeerskunde artikel
mail_outline

Aanmelden voor de nieuwsbrief

Reactie plaatsen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.