AUTO ALS DOELWIT VAN CYBERCRIME
Nieuwe regelgeving verplicht autofabrikanten en andere stakeholders binnenkort om de door hen nieuw geproduceerde voertuigen te beveiligen tegen cyberaanvallen. In de Europese Unie zal de nieuwe verordening UNECE WP.29 R155 inzake cyberbeveiliging vanaf 1 juli 2022 effectief zijn voor alle voertuigen waarvoor een typegoedkeuring wordt gevraagd en vanaf 1 juli 2024 voor alle nieuw geproduceerde voertuigen.
De eerste aanzetten tot autonoom rijden, een groeiend aandeel connected auto’s, de transitie naar elektrisch rijden en de inzet van deelauto’s hebben de agenda in de auto-industrie en -branche de afgelopen paar jaar gedomineerd. De meeste innovaties die dit opleverde, zijn gebaseerd op de digitalisering van de diverse systemen in de auto, de uitbreiding van IT-systemen in auto’s en software-updates over the air. Deze ontwikkelingen maken de moderne auto een verleidelijk doelwit voor cyberaanvallen, vandaar de nieuwe en vooral noodzakelijke regelgeving.
Bij de implementatie van de nieuwe regelgeving speelt het Cyber Security Management System (CSMS) vanaf juli 2022 een grote rol. Het CSMS moet ervoor zorgen dat ondernemingen en organisaties hun beleid en de processen ten aanzien van cyberrisico’s vastleggen. Het UNECE-reglement en de bijbehorende ISO-normen (ISO/SAE 21434) zijn van toepassing op alle connected and automated mobility, dus moeten niet alleen de voertuigen, maar ook de diensten die belanghebbenden aanbieden voldoende beveiligd zijn tegen cyberaanvallen. De verordening geldt dus ook voor andere partijen uit het auto-ecosysteem dan de autofabrikant. Denk daarbij aan universele autobedrijven, wegbeheerders, lokale overheden, fabrikanten van verkeersmiddelen, leveranciers van laadpalen en telecomproviders die met de auto kunnen communiceren et cetera. Anders gezegd: eenieder die toegang heeft tot de betreffende systemen in de auto – of dat nu fysiek in de werkplaats is middels diagnoseapparatuur, of over the air – moet ervoor zorgen dat zijn of haar ingrijpen in het systeem absoluut cybersecurityproof is.
Aansprakelijkheid
Het is een uitdaging waar je niet te licht over moet denken, want het betekent tegelijkertijd een hoge mate van (mogelijke) aansprakelijkheid. Dit is af te leiden uit het rapport van de European Union Agency for Cybersecurity (ENISA), het cyberbeveiligingsagentschap van de EU. Het rapport, Recommendatios for the Security of CAM, is de basis voor een blauwdruk die alle CAM-stakeholders bewust moet maken van hun verantwoordelijkheden en deze richting klant ook borgen.
Het rapport roept op tot kennisdeling en stelt dat eilandvorming onverstandig is. Voor alles blijft gelden dat ondanks alle protocollen en systeemeisen de mens de zwakste schakel is en blijft. Bewustwording van de gevaren is dus iets wat van producent tot consument gecommuniceerd moet worden. Aan het ENISA-rapport werkten onder andere cybersecurity- en systeemexperts mee van Clepa, Figiefa, ZF, Continental, AVL, Actia, NXP, Michelin, McLaren, Acea, Verizon, Valeo, Robert Bosch, Volkswagen en zelfs Interpol en Europol.
Aanbevelingen
De verplichtingen om de cyberbeveiliging op orde te brengen vallen niet geheel onverwacht samen met de introductie van een aantal ADAS-functionaliteiten in nieuwe auto’s en niet te vergeten het SERMI-certificeringssysteem in 2024, waar autobedrijven en hun werkplaatsmedewerkers mee te maken krijgen.
Een moderne auto onderhouden, kalibreren en repareren wordt een stuk complexer, maar dat wisten we eigenlijk al. Hoe meer systemen onderdeel zijn van een datanetwerk, des te groter de kans op een mogelijke hack. ENISA wil met haar rapport bereiken dat ondernemingen en dienstverleners zich bewust zijn van de uitdagingen op het terrein van cyberbeveiliging in de mobiliteitssector. Wat helpt, is dat cyberbeveiliging, mede onder druk van de VN en de EU, in het CAM-ecosysteem gedeeltelijk is gestandaardiseerd en deze normen algemeen erkend worden. ENISA doet daarbij een aantal, naar eigen zeggen uitvoerbare, aanbevelingen aan de diverse belanghebbenden in het CAM-ecosysteem, met als belangrijkste doel: het niveau van beveiliging en veerkracht van CAM-infrastructuren en -systemen in Europa verhogen. Daarbij moet continu de vinger aan de pols worden gehouden, want cyberveiligheid is niet alleen een zaak van een nieuwe auto, maar geldt zoals gezegd voor de gehele levenscyclus van het voertuig. Wellicht is dat nog wel de grootste uitdaging.
Cyberveiligheid
Auto- en onderdelenfabrikanten, systeemleveranciers en de rest van de leveranciersketen dienen te laten zien dat zij, om een nieuwe auto op de markt te brengen (typegoedkeuring) alle mogelijke actie ondernemen (en dit vastleggen) om in iedere fase, van productontwikkeling tot aan de sloop, de cyberveiligheid te garanderen. De gehele keten, of ecosysteem, krijgt dus te maken met nieuwe cyberveiligheidseisen. Om dit te implementeren is parallel aan de Europese verordening R155 een nieuwe wereldstandaard ISO/SAE 21434 gepubliceerd als een industrieconsensus voor een cyberveilige automotive markt. Behalve de R155-verordening is er gelijktijdig ook een SW Update R156-voorschrift gemaakt. Dit betreft alle mogelijke over the air software-updates (onder andere in het kader van ADAS), die eveneens aan de nieuwe cyberveiligheidseisen moeten voldoen. Dit geldt niet alleen voor nieuwe auto’s, maar ook voor bestaande auto’s die over de mogelijkheid van over the air updates beschikken.
Bron: Aftersales Magazine / 17-09-2022 / J. Veldhuisen
