De digitale wereld ervaart een exponentiële groei. Steeds meer producten worden gecomputeriseerd en dit brengt risico’s met zich mee. Voertuigen zijn een voorbeeld van producten die in toenemende mate gecomputeriseerd worden. Er zijn echter weinig tot geen vereisten voor fabrikanten om de cyber security risico’s te adresseren. De volgende onderwerpen laten het belang van verplichte vereisten zien.
Mercedes-Benz toont kwetsbaarheid
Het Sky-Go Team van de ‘360 Group’ heeft in 2018 een kwetsbaarheid ontdekt in de Mercedes-Benz E-klasse die de groep toestond de deuren te openen en demotor te starten. Deze kwetsbaarheid had een impact op potentieel alle in China verbonden Mercedes-Benz auto’s, dit waren naar schatting toen 2 miljoen voertuigen!
Jeep Grand Cherokee wordt gehackt
Een verslaggever van WIRED liet in 2015 in een publieke demonstratie zien dat het systeem van de auto waarin hij aan het rijden was (een Jeep GrandCherokee), gehackt kon worden. Terwijl hij aan het rijden was begon de airco ineens ijskoude lucht te blazen, de radio switchte naar een hiphop zender en remmen konden worden gedeactiveerd toen hij voor een greppel probeerde te parkeren. Naar aanleiding van dit incident heeft Fiat Chrysler 1.4 miljoen auto’s teruggeroepen in Amerika!
Tesla toont zich bewust van cyber risico’s
Tesla heeft dit jaar een prijzenpot van 1 miljoen dollar en een paar model 3’s uitgeloofd aan de groep hackers die de elektrische auto kan hacken. Vorig jaar wist een hackers duo het entertainmentsysteem van de Tesla Model 3 te hacken, zij gingen met een auto naar huis. Door het demonstreren van die kwetsbaarheid kon Tesla zijn systeem veiliger maken, hierdoor doet Tesla dit jaar nog grootser mee aan het toernooi Pwn2Own.
Electronic Logging Devices (ELDs)
De Mercedez-Benz en Jeep Grand Cherokee zaken waren fabrikant-specifiek. Echter zijn in 2019 in Amerika Electronic Logging Devices (ELDs) verplicht gesteld om te installeren in vrachtwagens om hiermee vrachtwagenindustrie ‘veiliger’ te maken. Een ELD is een systeem dat wordt gebruikt om de datum, tijd, informatie over de locatie, motoruren, de gereden kilometers, gebruikersidentificatie data, voertuig identificatie data en de identificatiegegevens van de motordrager bij te houden. Deze ELDs staan draadloze verbindingen met het voertuig toe. Deze draadloze verbinding resulteert in een brug tussen kritieke voertuig componenten en draadloze dataoverdracht, hierdoor kan je toegang krijgen tot het systeem op afstand door middel van Wi-Fi of Bluetooth.
Gevolgen kwetsbare ELDs
De verbinding van ELDs vormt een cyber risico. Zoals we zagen bij de Mercedes-Benz en Jeep Grand Cherokee zaak werd het hackers mogelijk gemaakt om de ELDs te compromitteren en daarbij het voertuig opdrachten uit te laten voeren (het openen van deuren, aanzetten van de airco, uitschakelen van de remmen). Door het compromitteren van deze ELDs is het dus in feite mogelijk instructies door te sturen naar de voertuig componenten, waardoor het voertuig zich op een onverwachte en ongewilde manier kan gaan gedragen. ELDs worden gebruikt voor het bijhouden van gegevens van de motor. Echter kunnen sommige zelf-gecertificeerde ELDs opdrachten sturen naar de vrachtwagen zijn motor via hun connectie met de Electronic Controle Module.
ELDs met meer geavanceerde functies en verbindingen vormen een grotere cyber dreiging. Deze kunnen namelijk toestaan dat hackers toegang verkrijgen tot het bedrijfsnetwerk, waarbij ze zichzelf persoonlijke informatie of bedrijfsgegevens kunnen toe-eigenen. Financieel gemotiveerde criminelen kunnen zich feitelijk positioneren om malware zoals ransomware te installeren, waardoor diensten zoals het verzenden van of het volgen van verzonden producten voorkomen kan worden totdat het losgeld betaald is.
Tot slot
Voor 16 december waren deze ELDs niet verplicht voor vrachtwagens in Amerika. Dit is gewijzigd om de vrachtwagenindustrie veiliger te maken, maar de ELDs waren niet verplicht aan cyber security- of kwaliteitswaarborgingsvereisten te voldoen. Het resultaat hiervan is dat de verkopers hun ELDs zelf kunnen certificeren, zonder dat dit gevalideerd hoeft te worden door derden.
Autonome en gecomputeriseerde voertuigen brengen enorme cyber risico’s met zich mee. De digitalisering is iets prachtigs en vrijwel iedereen is daar enthousiast over. Echter moeten wij ons allemaal bewust worden van de risico’s die de digitale wereld met zich meebrengt, en dit onderwerp is een voorbeeld hiervan.