Verbonden

Connected cars, waaronder autonoom rijdende auto’s, communiceren constant met hun omgeving. In alle moderne auto’s zitten chips, waarop software staat die de functies van de auto verzorgen, denk aan motormanagement, navigatie en het entertainment systeem. Deze software maakt via Bluetooth, WiFi, 4G/5G of satelliet contact met andere auto’s en netwerken. Herbert Leenstra: “Via het internet is het vrij makkelijk om toegang te krijgen tot de CAN bus, de plek waar alle ICT-systemen bij elkaar komen, ofwel de ruggengraat van de auto. Hier kun je de instellingen van de auto wijzigen en hier hebben hackers direct invloed op de veiligheid van de auto. In 2015 lukte het hackers om in te breken in een rijdende Amerikaanse Jeep Cherokee. Ze konden de remmen blokkeren en de snelheid van het voertuig aanpassen.”

Fundamentele weeffouten

Uit het onderzoek blijkt dat er fundamentele weeffouten zitten in de ICT-architectuur van de huidige generatie voertuigen. Leenstra: “Het onderzoek laat zien dat hackers op diverse manieren het ICT-systeem van de auto kunnen binnenkomen. Het entertainmentsysteem geeft nu bijvoorbeeld toegang tot het motorsysteem, terwijl er eigenlijk geen enkele reden is voor zo’n verbinding. Nu de huidige generatie auto’s verbonden is met het internet, kunnen hackers ook via het internet diverse systemen van auto’s hacken.”

Updates

Het onderzoek levert concrete stappen op die diverse partijen in de automotive sector kunnen nemen om de cyber security van de auto’s te verbeteren. Leenstra: “Allereerst moet de autofabrikant het huidige CAN bus systeem van de auto herontwerpen zodat de vitale en non vitale systemen van de auto gescheiden van elkaar zijn en deze minder hackgevoelig wordt. Ten tweede moet de overheid antwoord geven op enkele fundamentele uitgangspunten zodat de automotive industrie hier op verder kan bouwen. Een antwoord waarop de industrie wacht, is bijvoorbeeld hoe lang de autofabrikant de software updates, security patches en firmware updates van de auto moet ondersteunen. De vraag is ook op welke manier zij die updates moeten uitvoeren. Een update kan nu via een USB-stick of via het internet. Maar op die USB stick kan natuurlijk van alles staan.”

Veiligheid

Ook ziet Leenstra een verbeterpunt in het delen van incidenten, de rol van verzekeraars, en het delen van kennis over cyber security. Leenstra: “In navolging van de VS kan Europa ook een auto ISAC oprichten. In een ISAC, Information Sharing and Analysis Center, delen alle betrokken partijen hun informatie en ervaringen op het security vlak.” En de consument? “De consument moet bij de verkopende dealer kritisch navragen hoe cyber secure de auto is en hoe de fabrikant dat kan bewijzen.”

Meer informatie

Herbert Leenstra deed onderzoek bij dertien Nederlandse bedrijven en instellingen betrokken bij de automotive industrie, zoals de overheid, kennisinstellingen, brancheorganisaties, automotive industrie en verzekeraars. Hij deed dit onderzoek in het kader van Stichting Cyber Security Academy The Hague (CSA) waarin de Universiteit Leiden, de Technische Universiteit Delft en De Haagse Hogeschool hun kennis en expertise op het gebied van cyber security gebundeld hebben. Het onderzoek vind je hier online.

Drs. Herbert Leenstra, contact.leenstra@gmail.com, 06 129 46 726.
Adviseur wetenschapscommunicatie Wendy Dallinga, w.m.dallinga@tudelft.nl, 015 278 7538.