Automotive Cyber Security: nieuwe verplichte regelgeving

INHOUD

• Waarom Automotive Cyber Security?
• Wat betekent cybersecurity in de auto-industrie?
• Praktijkvoorbeeld: gevolgen van een aanval
• IT-beveiliging en updates van voertuigsoftware
• Op wie is de nieuwe regelgeving van toepassing?
• UNECE Cyberbeveiliging volgens R 155
• Wat is een managementsysteem voor cyberveiligheid (CSMS)?
• Wat regelt de software-update van de VN/ECE volgens R 156?
• Is cybersecurity certificeerbaar in de automobielindustrie?
• ISO/SAE 21434 als reputatiebooster
• Excursus: andere belangrijke automotive regelgeving
• Checklists voor de vereisten van UNECE Automotive Security
• Certificering met DQS

Waarom Automotive Cyber Security?

Automotive Cyber Security is de uitdaging van het moment voor autofabrikanten. Elke extra communicatie-interface en component is een potentieel aanvalspunt voor cybercriminelen. Het schadepotentieel van manipulatie neemt snel toe, bijvoorbeeld met betrekking tot autonoom bestuurde voertuigen of elektronisch gestuurde rij- en remfuncties.

Daarom definiëren de Verenigde Naties met twee nieuwe reglementen het basiskader voor cyberveiligheid in de automobielsector. Dit zijn UNECE Cyber Security (UN R 155), dat rechtstreeks verwijst naar de nieuwe ISO/SAE 21434-norm, en UNECE Software Updating (UN R 156). In juli 2022 zijn de voorschriften voor nieuwe voertuigtypes (in de EU) van kracht geworden. De automobielindustrie staat dus voor grote uitdagingen - vooral omdat veel original equipment manufacturers (OEM's) en leveranciers de nieuwe voorschriften bekritiseren als zeer algemeen. Hier bestaat een wijdverbreid verlangen naar concrete aanbevelingen voor maatregelen als bindende vangrail.

Wat betekent cyberbeveiliging in de auto-industrie?

Terwijl de internationale ISO 27001-norm de bedrijfstakoverschrijdende benadering van informatiebeveiliging is, beschrijft de term cyberbeveiliging in de automobielindustrie de beveiliging van digitale systemen in de automobielindustrie. Onze motorvoertuigen zijn in toenemende mate afhankelijk van elektronische netwerksystemen en softwaretoepassingen. Als gevolg daarvan wordt het beschermen en beveiligen van deze componenten steeds belangrijker - in de hele industrie. Dit begint bij de autofabrikant, gaat verder bij de toeleveranciers en technische dienstverleners, en strekt zich uit tot de aanbieders van software en ICT-infrastructuurdiensten. Twee nieuwe verordeningen van de Verenigde Naties, gericht tot fabrikanten en hun leveranciers, zijn bedoeld om de beveiliging van IT in de automobielindustrie te waarborgen.

Waarom hebben we cyberbeveiliging voor de automobielindustrie nodig?

Connected vehicles: dit betekent innovatieve assistentiesystemen, (gedeeltelijk) autonoom rijden, genetwerkte productie waarbij toeleveranciers betrokken zijn, connected cars met connected services - digitalisering doet zich duidelijk voelen op bijna elk gebied van de auto-industrie, en het gaat snel vooruit. Maar toenemende connectiviteit betekent uiteindelijk steeds meer code, en die code kan op de meest uiteenlopende manieren worden aangetast. Moderne auto's bevatten immers tot 150 elektronische regeleenheden en ongeveer 100 miljoen regels code, en dat aantal zal naar verwachting tegen 2030 verdrievoudigd zijn. De hoeveelheid software in de huidige voertuigen is al vier keer zo groot als die van een straaljager.

Niet alleen sinds de Coronapandemie en de daarmee gepaard gaande toename van cyberaanvallen moet bijzondere aandacht worden besteed aan IT-veiligheid of cyberbeveiliging in de automobielsector. Een voertuig moet te allen tijde zijn functionele veiligheid kunnen garanderen. Het schadepotentieel van cyberaanvallen op slimme auto's is enorm. Er moet rekening worden gehouden met horrorscenario's van grootschalige aanvallen ("Alle elektronische remmen in de voertuigen van een fabrikant worden gelijktijdig lamgelegd door een hackeraanval."). Wat hier nodig is, zijn nauwkeurige, doeltreffende beveiligingsconcepten.

Praktijkvoorbeeld: effecten van een aanval

In 2015 demonstreerden twee Amerikaanse IT-experts de potentiële impact van een hack op een Jeep Cherokee. Ze compromitteerden het Uconnect-systeem, dat veel elektronische voertuigfuncties combineert, van infotainment tot navigatie. Het dient ook als interface voor mobiele apparaten en opent op verzoek een WLAN-hotspot - met andere woorden, het heeft een IP-adres. Om hun vaardigheden te demonstreren, nodigden de twee hackers een journalist uit, die korte tijd later machteloos moest toezien hoe hij de controle over het voertuig verloor.

Vanop een afstand van meer dan 1000 kilometer zetten de hackers eerst de airco en de radio aan via hun laptop. Daarna sproeiden ze ruitenwisserwater op de voorruit en uiteindelijk schakelden ze de motor gewoon uit - midden op een interstate highway (het equivalent van een Europese snelweg). Na dit eerste bewijs van ernstige kwetsbaarheden in de IT-infrastructuur van voertuigen, gingen ze zelfs nog een stapje verder. Ze demonstreerden op een lege parkeerplaats dat ze zelfs de besturing konden beïnvloeden of de remmen konden overrulen. De gevolgen hiervan waren een terugroepactie van 1,4 miljoen voertuigen en een boete van 105 miljoen dollar.

IT-beveiliging en updates van voertuigsoftware

Tegenwoordig zijn selectieve maatregelen niet langer voldoende om voertuigen holistisch te beschermen. In plaats daarvan is een systematische en strategische aanpak nodig waarbij duidelijke eisen worden gesteld aan de reikwijdte, de prestaties en de controle van een beveiligingssysteem. De strategische benadering moet de hele levenscyclus van het product bestrijken. Daarbij moet de nadruk bijvoorbeeld liggen op de beschikbaarheid van software-updates op lange termijn of op de integratie van de hele toeleveringsketen.

Om een passend kader voor cyberbeveiliging in de automobielsector te creëren, heeft het Wereldforum voor de harmonisatie van reglementen voor voertuigen van de Economische Commissie voor Europa van de Verenigde Naties (UNECE) in de zomer van 2020 voor het eerst twee bindende reglementen aangenomen. De regels, gepubliceerd onder de afkortingen UNECE R 155 en UNECE R 156, hebben betrekking op IT-beveiliging en software-updates in voertuigen, en zijn dus nauw met elkaar verbonden.

De voorschriften zijn begin 2021 in werking getreden. Sinds juli 2022 is naleving verplicht voor nieuwe voertuigtypen. Fabrikanten die niet aan de eisen voldoen, krijgen dan te maken met de niet-registratie van de desbetreffende voertuigtypes. Ten slotte zullen de voorschriften vanaf juli 2024 gelden voor alle nieuw geproduceerde voertuigen.

De verordeningen vereisen in wezen de uitvoering van maatregelen op vier gebieden:

• Beheersing van cyberrisico's voor voertuigen
• Bescherming van voertuigen volgens een op beveiliging gebaseerde aanpak om de risico's in de waardeketen te beperken
• Opsporing van en verdediging tegen aanvallen in het volledige wagenpark
• Het aanbieden van software-updates op het gebied van beveiliging en het invoeren van een rechtsgrondslag voor over-the-air-updates (O.T.A.) van voertuigsoftware

Cyberbeveiliging in de auto-industrie: wie wordt geraakt door de nieuwe regelgeving?

In de VN-regelgeving wordt in de eerste plaats gesproken over voertuigfabrikanten die de nieuwe voorschriften moeten toepassen. Dit omvat echter ook het bewaken en auditen van de cyberveiligheid in de hele toeleveringsketen, zodat de handhaving van de voorschriften te allen tijde kan worden aangetoond. De fabrikant is dus verplicht om leveranciers te controleren. En hij zal dus zeer waarschijnlijk van zijn leveranciers eisen dat zij de nieuwe normen ook toepassen.

De twee verordeningen zijn van toepassing op personenauto's, bestelwagens, vrachtwagens en bussen, mits deze zijn uitgerust met geautomatiseerde rijfuncties. Deze categorie omvat ook nieuwe types van geautomatiseerde pods, shuttles of vergelijkbare voertuigen. Daarnaast zijn de reglementen ook van toepassing op aanhangwagens die ten minste één elektronische besturingseenheid bevatten.

Wat bestrijkt de cyberveiligheid van de VN/ECE volgens R 155?

In VN/ECE-Reglement nr. 155 worden voorschriften vastgesteld voor de bescherming van voertuigen tegen cyberaanvallen. Een belangrijk punt hierbij is de implementatie van een Cyber Security Management System (CSMS) in alle bedrijven die voertuigen op de markt brengen. Het spannende is dat deze eis het perspectief van de fabrikanten verschuift. Hun ontwikkelingsactiviteiten eindigen niet langer met de start van de productie (SOP). In plaats daarvan is er een permanente verplichting om de veiligheidssystemen gedurende de hele levenscyclus van een voertuig te controleren, met inbegrip van alle noodzakelijke verbeteringen.

Op die manier houdt de wetgever rekening met het zeer dynamische karakter van softwareontwikkeling en softwareborging. Bovendien moet het managementsysteem ervoor zorgen dat de veiligheidsvoorschriften in de hele toeleveringsketen worden nageleefd. Dit is geen gemakkelijke opgave, aangezien leveranciers momenteel meer dan 70 procent van het softwarevolume voor hun rekening nemen.

Om ondanks deze complexiteit end-to-end beveiliging te garanderen - van de ontwikkeling tot het afgewerkte voertuig op de weg - is het belangrijk om holistisch over een CSMS na te denken. Bovendien moeten voertuigen worden ontworpen op basis van een "security-by-design"-benadering. De bedoeling is om de toegangspoort voor aanvallers vanaf het begin zo klein mogelijk te houden.

Wat is een managementsysteem voor cyberbeveiliging (CSMS)?

De belangrijkste kenmerken van een CSMS zijn:

• Risicomanagement: een organisatie gebruikt processen om risico's van cyberdreigingen te identificeren, te beoordelen en te beperken.
• Risicobeheer bestrijkt de gehele levenscyclus van een product - van ontwikkeling tot de operationele fase bij de eindklant.
• Monitoring van nieuwe kwetsbaarheden en bekende aanvallen om te reageren met nieuwe updates.
• Maakt onafhankelijke beoordeling door een geaccrediteerd testinstituut mogelijk.

Belangrijk pluspunt in de praktijk: de systematisering van cybersecurity die de invoering van een CSMS met zich meebrengt, maakt het voor bedrijven verplicht om het vraagstuk van informatiebeveiliging risicogeoriënteerd aan te pakken.

Dit houdt in dat risico's volledig moeten worden gedefinieerd en geëvalueerd en dat moet worden nagegaan hoe groot de kans is dat ze zich voordoen. Deze risicobeoordeling biedt een solide uitgangspunt om de specifieke potentiële schade tot een aanvaardbaar niveau terug te brengen - een beproefde en pragmatische aanpak.

Automotive Cyber Security: wat regelt UNECE R 156?

Aangezien volledig autonome voertuigen binnen afzienbare tijd ook aan het verkeer zullen deelnemen, is het van centraal belang om de voertuigsoftware adequaat te onderhouden en permanent up-to-date te houden, bijvoorbeeld door bug fixes of updates. R 156 schrijft daarom de invoering en het gebruik voor van een aan de normen beantwoordend Software Update Management System (SUMS) voor alle voertuigen. Het is bedoeld om permanente veiligheid te bieden gedurende de gehele levenscyclus van een voertuig.

Ook na vele jaren of decennia moet het nog mogelijk zijn om veilig en betrouwbaar updates te installeren. Bovendien legt R 156 de wettelijke basis voor zogenaamde "Over-the-Air"-updates (O.T.A.), waarmee voertuigen op korte termijn en op elk moment kunnen worden geüpdatet, ongeacht waar ze zich bevinden.

Ter vergelijking: de huidige fabrikanten van mobiele telefoons geven weinig zekerheid over het aantal komende softwaregeneraties dat zij zullen ondersteunen of over de vraag gedurende welke periode oudere toestellen nog van beveiligingsupdates zullen worden voorzien. Als fabrikanten van mobiele telefoons die affiniteit hebben met IT, de uitdagingen van de levenscyclus van hun producten zo vroeg mogelijk willen vermijden, dan toont dit duidelijk de IT-gerelateerde uitdagingen waarmee de auto-industrie nu wordt geconfronteerd met haar lange levenscycli van producten.

Is hedendaagse cyberbeveiliging certificeerbaar in de auto-industrie?

Volgens de EU-regelgeving moeten fabrikanten de functionaliteit van hun managementsystemen te allen tijde garanderen en de status van al hun software uitgebreid documenteren.

Om een certificeerbare standaard voor de functionaliteit van een CSMS te bieden, heeft de International Organization for Standardization (ISO) samen met de Society of Automotive Engineers (SAE) in augustus 2021 ISO/SAE 21434 gepubliceerd. In professionele kringen wordt verwacht dat ISO/SAE 21434 een door goedkeuringsinstanties erkende basis zal bieden voor de implementatie van een cyber security management systeem bij een voertuigfabrikant.

De Duitse Vereniging van de Automobielindustrie (VDA) heeft een aanvullende testbasis op deze norm gemaakt, die een voertuigfabrikant kan gebruiken om het CSMS van zijn leverancier of technische dienstverlener te auditen. Op die manier kan het CSMS van de fabrikant tot op het niveau van de toeleverancier een positief effect hebben in de zin van de VN/ECE-reglementen.

Voor de certificering van een beheersysteem voor software-updates moet ISO 24089 de norm worden. Het ontwerp staat op dit moment (januari 2022) echter nog open.

Onderscheid van TISAX®

Het is waar dat TISAX® ook een testprocedure is voor informatiebeveiliging in de automobielindustrie. En net als bij een certificering kan door middel van een assessment worden aangetoond dat aan de eisen is voldaan. TISAX® is echter in de eerste plaats bedoeld voor dienstverleners of leveranciers in de automobielindustrie die aan hun klanten moeten bewijzen dat zij aan bepaalde informatiebeveiligingseisen voldoen. Een voorbeeld is de veilige omgang met gegevens en informatie die door de klant aan een leverancier worden verstrekt voor bijvoorbeeld een ontwikkelings- en fabricageproces. ISO/SAE 21434 is daarentegen gericht op voertuigfabrikanten, d.w.z. original equipment manufacturers (OEM's).

ISO/SAE 21434 als reputatiebooster

De aanpak van ISO 21434, naar analogie van gangbare managementsystemen zoals ISO 27001, vraagt om de implementatie van processen en procedures waarbij rekening wordt gehouden met vastgestelde risico's.

Het verklaarde doel van de norm is de veiligheid van alle elektrische en, vooral, gegevensverwerkende elektronische systemen te waarborgen gedurende de gehele productlevenscyclus van een voertuig, tot aan de verwijdering ervan. Op die manier wil de norm een gevestigde en bindende kwaliteitsnorm voor cyberveiligheid in de automobielsector worden.

Om aan deze holistische benadering te voldoen, definieert de norm een CSMS voor de gebieden beveiligingsontwerp, productontwikkeling, productonderhoud, risicodetectie, risicobeperking, productverwijdering, en gerelateerde lopende processen. De norm bevat ook voorschriften voor de verantwoordelijkheden in geval van gedistribueerde productontwikkeling tussen fabrikanten en leveranciers, zonder specifieke technologieën of oplossingen in concrete termen voor te schrijven.

Voertuigfabrikanten en -leveranciers moeten de toepassing van ISO 21434 niet als een extra last voor hun dagelijkse werkzaamheden beschouwen. Integendeel, certificeringen bieden op tal van gebieden een reële toegevoegde waarde - sleutelwoorden: cyberverzekering, cyberaansprakelijkheid en reputatie op de markt. Als gevolg daarvan kunnen ze soms zelfs een concurrentievoordeel worden. Immers, state-of-the-art IT-beveiliging bevestigd door onafhankelijke experts en bevestigde gegevensbescherming worden steeds meer gezien als belangrijke kwaliteitskenmerken in de industrie.

Excursus: andere belangrijke voorschriften voor de automobielindustrie

IATF 16949

De automobielindustrie streeft naar uitstekende proceskwaliteit, continue verbeteringsprocessen, de hoogste normen en innovatie. IATF 16949 is de norm voor kwaliteitsmanagementsystemen voor leveranciers in de auto-industrie.

TISAX®

TISAX® is een gemeenschappelijke test- en uitwisselingsprocedure voor de automobielsector. Het is gebaseerd op de "ISA - Information Security Assessment" vragenlijst ontwikkeld door de Duitse Vereniging van de Automobielindustrie (VDA). Deze bevat op zijn beurt essentiële aspecten van de internationale norm ISO/IEC 27001 en breidt deze uit met een maturiteitsmodel.

ISO 26262

De implementatie van de norm is bedoeld om de functionele veiligheid van een systeem met elektrische of elektronische componenten in een motorvoertuig te waarborgen. De norm bestaat uit twaalf delen. Deel 1: Woordenlijst, Deel 2: Functioneel veiligheidsbeheer, Deel 3: Conceptfase, Deel 4: Productontwikkeling op systeemniveau, Deel 5: Productontwikkeling op hardwareniveau, Deel 6: Productontwikkeling op softwareniveau, Deel 7: Productie, exploitatie, service en ontmanteling, Deel 8: Ondersteunende processen, Deel 9: Automotive safety integrity level (ASIL)-georiënteerde en veiligheidsgerichte analyse, Deel 10: Richtlijnen voor ISO 26262, Deel 11: Richtlijnen voor de toepassing van ISO 26262 op halfgeleiders en Deel 12: Aanpassing voor motorfietsen.

Checklists: voldoet u aan de eisen van UNECE Automotive Security?

De UNECE-catalogus van eisen is breed en kan op het eerste gezicht overweldigend zijn. De volgende drie checklists moeten u een compact overzicht geven van de voorschriften - en een eerste indruk of uw bestaande managementsystemen al voldoen aan de VN/ECE-reglementen.

Volgens het VN/ECE-reglement inzake cyberbeveiliging en beheersystemen voor cyberveiligheid moeten fabrikanten, om typegoedkeuring te krijgen, aan de volgende eisen voldoen.

Eisen Cyber Security Management Systemen.

• Er is een CSMS aanwezig dat kan worden toegepast op de ontwikkelings-, productie- en postproductiefase van wegvoertuigen.
• Er worden risicobeoordelingsanalyses uitgevoerd en deze dienen hun doel.
• Er worden risicobeperkende maatregelen geïdentificeerd.
• De functionaliteit van de risicobeperkende maatregelen kan worden geverifieerd door middel van tests.
• Er zijn maatregelen genomen om cyberaanvallen te identificeren en zich ertegen te verdedigen.
• Dankzij methodisch gegevensonderzoek kunnen succesvolle aanvallen worden geanalyseerd.
• Er bestaan maatregelen ter ondersteuning van de monitoringcapaciteit voor relevante bedreigingen, kwetsbaarheden en cyberaanvallen.
• De voertuigfabrikant rapporteert ten minste eenmaal per jaar aan de goedkeuringsinstantie.

Volgens het VN/ECE-reglement inzake software-updates en beheersystemen voor software-updates moeten fabrikanten aan de volgende eisen voldoen om typegoedkeuring te verkrijgen.

Voorschriften managementsystemen voor software-updates

• Er bestaat een managementsysteem voor software-updates en het kan worden toegepast op wegvoertuigen.
• De fabrikant documenteert updates volledig.
• Het mechanisme voor de levering van updates is beschermd tegen manipulatie en de integriteit en authenticiteit van updates kan worden gewaarborgd.
• Software-identificatienummers of softwareversies worden beschermd tegen ongeoorloofde wijziging.
• Het software-identificatienummer kan vanuit het voertuig via een interface worden gelezen.

Eisen voor software-updates boven de lucht

• Er bestaat een herstelfunctie als de update mislukt.
• De software wordt alleen bijgewerkt als er voldoende stroom beschikbaar is.
• De veilige uitvoering van updates kan worden gegarandeerd.
• De gebruikers worden op de hoogte gebracht van elke update en wanneer die voltooid is.
• Updates worden alleen uitgevoerd wanneer het voertuig daartoe in staat is (sommige updates kunnen bijvoorbeeld niet tijdens het rijden worden uitgevoerd).
• Gebruikers worden geïnformeerd wanneer een monteur nodig is.

Zet de koers uit voor succesvolle certificering met DQS

Informatiebeveiliging en gegevensbescherming zijn complexe vraagstukken die veel verder gaan dan IT-beveiliging. Ze omvatten technische, organisatorische en infrastructurele aspecten en raken aan wettelijke vereisten. Een beheersysteem voor informatiebeveiliging (Information Security Management System, ISMS) conform ISO/IEC 27001 is geschikt voor effectieve beschermingsmaatregelen, en dit kan ideaal worden aangevuld met een beheersysteem voor privacy-informatie (Privacy Information Management System, PIMS) conform ISO/IEC 27701. ISO 21434 zou op zijn beurt de basis kunnen worden voor het Cyber Security Management System (CSMS) dat binnenkort door vergunningverlenende instanties zal worden geëist.

DQS is uw specialist voor audits en certificeringen van managementsystemen en processen. Met onze producten voor de automobielindustrie, zoals kwaliteitsmanagement volgens IATF 16949 of prototypebescherming bij toeleveranciers volgens TISAX®, hebben wij en onze auditors al een uitgebreide branchekennis opgebouwd. Met de ervaring van meer dan 35 jaar en de knowhow van 2.500 auditors wereldwijd zijn wij uw competente certificatiepartner en bieden wij antwoorden op alle vragen met betrekking tot gegevensbescherming en informatiebeveiliging.