De security in cyber cars

25 November 2013
Categorie:
944

Ik las laatst een artikel in de Financial Times over auto’s die autonoom kunnen rijden. Een bekende ontwikkelaar van elektrische auto’s is namelijk op zoek naar ontwikkelaars voor de ontwikkeling van autonoom rijdende auto’s. Het bedrijf wil daarmee de concurrentie aangaan met diverse andere automerken die bezig zijn met de ontwikkeling van auto’s die zelf kunnen rijden.

 

De voordelen van een zelfrijdende auto liggen voor de hand. De tijd die je normaal bezig bent met rijden, kan je dan besteden aan nuttigere zaken zoals bijvoorbeeld het voorbereiden op vergaderingen. Een anderveelgenoemd argument is dat het aantal ongevallen vermindert, doordat autonoom rijdende auto’s geen stoplichten nodig hebben op kruispunten, niet worden afgeleid door medepassagiers of medeweggebruikers en veel sneller beslissingen kunnen nemen.

 

Doordat we steeds meer ICT in onze auto’s implementeren, nemen ook de ICT-gerelateerde risico’s toe. Wat als iemand de computersystemen aan boord van een autonoom rijdende auto kan verstoren? Volgens het eerder genoemde automerk moeten bestuurders met een druk op de knop hun auto weer kunnen overnemen. Maar een kwaadwillende kan die knop natuurlijk ook onklaar maken, waardoor de auto feitelijk onbestuurbaar wordt.

Onderzoekers van de Universiteit Twente hebben zelfs op afstand de airbag geactiveerd of spontaan laten remmen. Stel je voor dat een kwaadwillende hacker ineens je auto richting de andere weghelft stuurt!

 

Het spreekt voor zich dat onderzoek naar de cyber security ofwel de beveiliging van de digitale systemen in de auto noodzakelijk is. Hierbij wordt onderscheid gemaakt tussen beveiliging tegen passieve en actieve aanvallen. Bij passieve aanvallen worden gegevens afkomstig van een systeem onderschept, zonder dat de gegevens worden gewijzigd. Een voorbeeld is te zien in figuur 1, waarin data dat vanuit auto A naar auto B gestuurd wordt, bijvoorbeeld een telefoongesprek of locatiegegevens waarmee auto B afstand houdt van auto A. Een hacker kan deze data onderscheppen om in de gaten te houden wat de persoon in auto A doet. Een actieve aanval heeft als doel gegevens te manipuleren.

 

Een voorbeeld is te zien in figuur 2, waarbij de data van auto A eerst door een derde partij wordt gemanipuleerd alvorens ze wordt doorgestuurd naar auto B. Andere voorbeelden van actieve aanvallen zijn het uitvoeren van een denial-of-service aanval waardoor de systemen in de auto onbruikbaar worden, of het versturen van valse gegevens naar het besturingssysteem in de auto waardoor de airbag geactiveerd wordt.

 

 

Om dit soort problemen tegen te gaan wordt door een consortium onder leiding van de Universiteit van Twente onderzoek gedaan naar ‘onhackbare’ verbindingen en systemen in voertuigen die ook nog eens de privacy van de gebruikers waarborgt. En dat is ook nodig, want volgens voorspellingen rijdt tussen 2035 en 2040 75% van de auto’s autonoom. 

 

Volgens het Cybersecuritybeeld Nederland, een rapport dat door het Nationaal Cyber Security Centrum wordt uitgegeven, is er nog steeds een toename in cybercrime te zien. Zowel burgers als bedrijven hebben te maken met een toenemende afhankelijkheid van ICT en veranderende digitale dreigingen. Het rapport zegt ook dat veel bedrijven onvoldoende aandacht besteden aan belangrijke basismaatregelen zoals het patchen of updaten van systemen, waardoor oude kwetsbaarheden en aanvalsmethoden nog steeds effectief zijn. Als we dit relateren aan de verwachting dat over enkele decennia 75% van de auto’s autonoom rijdt, dan betekent dit dat de eindgebruiker, in dit geval de bestuurder (of passagier?) van de autonome auto, steeds vaker geconfronteerd gaat worden met kwetsbaarheden in systemen waar hij beperkte invloed op uit kan oefenen of waar hij geen kennis van heeft.

 

Omdat cyber security onmisbaar is voor de veiligheid van ICT-systemen en de continuïteit van bedrijven, heeft Capgemini het Cyber Security Center opgezet. Het Cyber Security Center helpt bedrijven innovatieve oplossingen te bedenken tegen de problemen zoals geschetst in dit artikel en daarmee de risico’s op het gebied van informatiebeveiliging te beperken.

Auteur

Michail Theuns