‘Auto-industrie negeert risico’s cybersecurity connected cars’

by Redactie IoT Journaal6 juni 2019

Voertuigen – van auto’s tot vrachtwagens en schepen – raken steeds meer ‘connected’. Autofabrikanten doen hun uiterste best om hun modellen op zijn minst aan het internet te verbinden voor infotainment- en navigatiedoeleinden. En de zelfrijdende auto – de ultieme IoT-toepassing op wielen – gooit daar nog eens een schepje bovenop. Dat maakt het ook weer aantrekkelijk voor cybercriminelen en hackers. Daar zijn al verschillende voorbeelden van, zij het meestal van ‘goedwillende’ hackers die alleen willen aantonen dat de connected car allesbehalve veilig is. Het roept de vraag op of autofabrikanten en hun toeleveranciers wel genoeg doen aan cybersecurity. Het antwoord? Nee. Dat stellen de samenstellers van het rapport ‘Securing the Modern Vehicle’. Het document is gratis te downloaden via IoTJournaal (31 pagina’s, 5,12 Mb, PDF).

Het onderzoek in kwestie is in opdracht van Synopsys (specialist in ‘t testen van hard- en software) en SAE International (opleidingen voor ingenieurs) uitgevoerd door het onafhankelijke Amerikaanse Ponemon Institute, gespecialiseerd in cybersecurity vraagstukken. Het bureau ondervroeg wereldwijd 15.900 IT security-medewerkers die in de automotive sector werkzaam zijn. De niet al te hoopvol stemmende conclusie van het onderzoek: een overgrote meerderheid van hen zijn bezorgd over de manier waarop hun werkgever cybersecurity aanpakt in de producten. Maar liefst 63 procent van hen zegt dat er slechts de helft (of zelfs minder) van alle hard- en software wordt getest op kwetsbaarheden. Wat eveneens zorgen baart: een groot deel van de respondenten (69 procent) durft het niet aan om hun leidinggevenden van op de hoogte te stellen van hun zorgen op het gebied van cybersecurity.

IoT Security Automotive

Toeleveranciers

Het grote gevaar zit ‘m niet alleen in het eindproduct, de connected car. Volgens de samenstellers van het rapport begint het al bij de toeleveranciers van autofabrikanten. Die laten na om hun halffabricaten goed te testen voordat zij het naar de afnemers sturen. Zo kan het gebeuren dat infotainmentsystemen inclusief kwetsbaarheden argeloos door de autofabrikanten in hun modellen worden ingebouwd. Ook ontbreekt het bij veel toeleveranciers aan (duidelijk) beleid op het gebied van zaken als het toepassen van firmware updates op afstand. Het is niet alleen een kwestie van security-bewustzijn, aldus de respondenten. Het gros van de organisaties heeft er domweg niet genoeg mensen en middelen voor over. Daarnaast ontbreekt het hen vaak aan de noodzakelijke kennis op het gebied van cybersecurity.

IoT Security Automotive 2