Mensen veilig houden met automotive cybersecurity - hoe Threat Modeling kan helpen

Voertuigen worden gehackt, slimme auto's worden gekaapt: deze risico's zijn echt. Welke risico's moeten fabrikanten aanpakken? Hoe brengt u deze dreigingen in kaart? Automotive security specialist Anna Prudnikova deelt haar inzichten.

... > Threat Modeling > Hoe Threat Modeling de beveiliging van auto's kan verbeteren

Het Identificeren van automotive risico's met Threat Modeling

Interview met Anna Prudnikova, Automotive Security Specialist bij Secura.

Quote by

Anna Prudnikova

Quote by

Liesbeth Sparks

Auteur: Liesbeth Sparks, Content Writer bij Secura.

Onveilige voertuigen beïnvloeden de veiligheid van echte mensen, daarom focussen regelgevers sterk op cybersecurity maatregelen voor de automotive industrie.

Het identificeren van relevante dreigingen kan lastig zijn, zegt Anna Prudnikova, automotive security specialist bij Secura: ‘Cybersecurity is relatief een nieuw onderwerp voor fabrikanten en het meest gecompliceerde deel is te beginnen met de juiste expertise aan boord.’

Welke uitdagingen staan de automotive industrie te wachten? En hoe helpt Threat Modeling deze uitdagingen aan te pakken?

De cyberrisico's voor de automotive sector groeien

Automotive security groeit snel, ziet Prudnikova. ‘In 2015 slaagde een groep onderzoekers, zogenaamde white hat hackers, erin een Jeep te hacken. Ze namen volledige controle over de auto en reden deze van de weg. Als gevolg moest Jeep ongeveer een miljoen voertuigen terugroepen, om ze te updaten. Dit was de eerste high profile cyberaanval op een auto’, legt Prudnikova uit. Het toonde aan dat je de veiligheid van mensen kunt beïnvloeden, door het op afstand overnemen van de auto,

‘Het gaat niet alleen om volledige controle over een voertuig’, stelt Anna. ‘Ik herinner me dat ik een paar jaar geleden met mijn ouders in Parijs was. Ze hadden een BMW met een sleutel met afstandsbediening. De auto stond geparkeerd op een betaald parkeerterrein in Parijs. Iemand kloonde het signaal van de sleutel en hackte de auto.’

Dit was allemaal een paar jaar geleden, maar de dreigingen groeien alleen maar, zegt Prudnikova. ‘Je kunt de gereedschappen om het signaal van te kopiëren en een auto te kapen voor een paar honderd dollar op AliExpress kopen, afhankelijk van het merk dat je wilt targeten.

Het gaat niet alleen om de auto's zelf, maar om de groeiende connectiviteit met allerlei andere systemen. Neem slimme verkeerslichten: binnen vijf jaar zullen deze wereldwijd worden uitgerold. Als je een auto kunt hacken en deze auto stuurt een signaal naar het slimme verkeerslicht, zou je zelfs andere netwerken kunnen binnendringen. Dit is een echte dreiging waarvan we ons bewust moeten zijn en die regelgevers proberen aan te pakken.’

Quote by

Anna Prudnikova

Automotive Security Specialist

Secura

We hebben threat modeling uitgevoerd op twee deuren van een bus. We hebben meer dan dertig bedreigingen geïdentificeerd.

Cybersecurity regelgeving helpt de automotive sector veilig te houden

‘Al deze cyberincidenten en groeiende dreigingen onderstrepen de behoefte aan regelgeving. Op dit moment zijn er twee belangrijke cybersecurity regelgevingen van toepassing op de automotive sector. Beide zijn uitgegeven door de UNECE, de Economische Commissie voor Europa van de Verenigde Naties. UNECE R155 richt zich op cybersecurity in het algemeen, UNECE R156 richt zich meer op software-updates.

‘UNECE dekt 56 landen in Noord-Amerika, Europa en Azië. Als u uw voertuig in een van deze landen wilt verkopen, moet u een typegoedkeuring hebben, dus het voertuig moet worden gepentest en u moet risicobeoordelingen uitvoeren.

‘Voldoen aan deze regelgevingen kan een hoofdpijndossier vormen, omdat ze complex zijn. Fabrikanten moeten cybersecurity niet alleen technisch binnen hun voertuigen implementeren, maar cybersecurity daadwerkelijk introduceren door de hele levenscyclus van de voertuigproductie. De kloof overbruggen tussen kennis van voertuigtechniek en cybersecurity is de meest complexe taak die er is. Maar voldoen aan UNECE R155 en R156 betekent dat de risico's van een volledige cyberaanval, zoals die op Jeep in 2015, aanzienlijk kleiner worden, en we mensen veilig kunnen houden.’

Threat Modeling kan zelfs risico's voor eenvoudige systemen blootleggen

Prudnikove: ‘Ja, cybersecurity risico's gelden echt voor zo ongeveer elk voertuig. Alle nieuwe voertuigen hebben slimme functies. Zelfs zonder draadloze verbinding is er altijd een fysieke OBD-poort, een soort stopcontact in het voertuig waarmee je toegang hebt tot de software in het voertuig.

Dit zagen we toen we onlangs een threat modeling sessie deden voor het deursysteem van een bus. Dit systeem is niet zwaar verbonden, er is geen IoT (Internet of Things), geen draadloze verbinding. Er zijn twee deuren en dat is het. Wat kan er misgaan? Het is maar een deur. Maar we identificeerden ongeveer dertig dreigingen.’

‘We ontdekten bijvoorbeeld dat een aanvaller de fysieke OBD-poort zou kunnen kapen. Die poort wordt gebruikt om een laptop voor onderhoud aan het deursysteem te verbinden. Alles wat een hacker hoeft te doen is "rommelen met een paar parameters". Dan zou de aanvaller in staat zijn de deuren te openen terwijl de bus rijdt.’

‘In dit geval was de oplossing vrij simpel: zet een slot op de doos met de OBD-poort en beperk de toegang. Maar als we dertig dreigingen kunnen identificeren voor een simpel deursysteem van bussen, kun je je voorstellen hoeveel dreigingen er zouden kunnen zijn voor een volledig verbonden auto.’

Automotive diensten

Threat Modeling

Article image

Threat Modeling helpt u potentiële bedreigingen te identificeren voordat ze zich voordoen.

UNECE Diensten

Article image

Laat ons u helpen met UNECE compliance, van een Gap Assessment tot de voorbereiding op certificering.

Device Testing

Article image

Heeft u hulp nodig bij het testen van uw apparaten? Onze testers kunnen u helpen potentiële kwetsbaarheden te vinden.

Meer informatie

Heeft u hulp nodig bij het identificeren van de belangrijkste bedreigingen voor uw voertuig, voertuigonderdeel of productiesysteem? Secura kan een Threat Modeling workshop uitvoeren om u te helpen de dreigingen te bepalen, deze te mitigeren en u voor te bereiden op certificering volgens UNECE-normen.Vul het formulier in en we nemen binnen één werkdag contact met u op.

USP

OVER SECURA

Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.

Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.