Cyberveiligheid in de auto-industrie: Nieuwe verplichte regelgeving vanaf juli 2024

Waarom is cyberveiligheid in de autosector zo belangrijk?

De ontwikkeling en het ontwerp van voertuigen is de afgelopen jaren drastisch veranderd: Wat ooit een mechanisch vervoermiddel was, is allang een computer met wielen geworden. Waar ooit voertuigonderdelen zoals het rempedaal en de rem of de stuurinrichting en de vooras fysiek met elkaar verbonden waren, communiceren ze nu als systeem uitsluitend via digitale controllers die elektrische signalen naar actuatoren sturen. Bijna elk onderdeel in een modern voertuig is digitaal in een netwerk opgenomen om optimale prestaties en rijveiligheid te garanderen. Als gevolg hiervan is de moderne slimme auto altijd online - maar de verschillende boordcomputers en assistentiesystemen zijn ook een groeiend doelwit voor cyberaanvallen.

Een realistisch en angstaanjagend scenario is het manipuleren van de motor, remmen of stuurinrichting, wat levensgevaarlijk kan zijn voor de inzittenden van het voertuig en andere weggebruikers. De kwestie van autonoom rijden is nog explosiever: afhankelijk van hoeveel beslissingsbevoegdheid de elektronische regelsystemen hebben, kan (op afstand) ingrijpen in hun rijgedrag fatale gevolgen hebben.

Waarom staat de auto-industrie in het middelpunt van veel aanvallen?

Terwijl de internationale ISO 27001-norm de bedrijfstakoverschrijdende benadering van informatiebeveiliging is, beschrijft de term cyberbeveiliging in de automobielindustrie de beveiliging van digitale systemen in de automobielindustrie. Onze motorvoertuigen zijn in toenemende mate afhankelijk van elektronische netwerksystemen en softwaretoepassingen. Als gevolg daarvan wordt het beschermen en beveiligen van deze componenten steeds belangrijker - in de hele industrie. Dit begint bij de autofabrikant, gaat verder bij de toeleveranciers en technische dienstverleners, en strekt zich uit tot de aanbieders van software en ICT-infrastructuurdiensten. Twee nieuwe verordeningen van de Verenigde Naties, gericht tot fabrikanten en hun leveranciers, zijn bedoeld om de beveiliging van IT in de automobielindustrie te waarborgen.

INHOUD

• Waarom is cyberbeveiliging in de auto-industrie zo belangrijk?
• Waarom staat de auto-industrie in het middelpunt van zoveel aanvallen?
• Wat zijn de aanvalsvectoren? 
• Op wie is de nieuwe regelgeving van toepassing en wat zijn de implicaties?
• Wat is een beheersysteem voor cyberbeveiliging (CSMS) en wat zijn de voordelen? 
• UNECE R 155 & 156: Regelgeving voor cyberveiligheid in de auto-industrie 
• De beste weg naar een CSMS: ISO 21434 en de introductie van de voertuig cybersecurity audit 
• Hoe kunnen organisaties zich voorbereiden op een VCS-audit?
• Automotive cyber security: waarom organisaties nu moeten handelen
• Succesvolle certificering met DQS 

Wat zijn de aanvalsvectoren?

Een modern voertuig kan op veel verschillende manieren het doelwit zijn van hackers. Hier volgen enkele voorbeelden:

- Misschien wel de gevaarlijkste toegangspoorten tot het voertuigsysteem en de ECU zijn de connectiviteitsfuncties van moderne voertuigen, met name de draadloze interfaces via Bluetooth en WLAN. Naast het infotainmentsysteem is ook de proliferatie van companion apps, die kunnen worden gebruikt om kritieke functies te besturen, een belangrijke kwetsbaarheid.

- Steeds meer autofabrikanten vertrouwen op over-the-air updates om zichzelf en hun klanten te beschermen tegen tijdrovende terugroepacties en dure servicebezoeken. Voertuigen die over-the-air updates kunnen ontvangen, zijn echter ook kwetsbaarder voor infiltratie door kwaadwillenden. OTA-updates vormen het grootste risico voor grootschalige cyberaanvallen gericht op hele modellijnen.

- Vehicle-to-everything (V2X)-connectiviteit zal in de toekomst ook meer aandacht vragen. V2X verwijst naar de constante communicatie tussen voertuigen en entiteiten in hun omgeving, zoals tussen voertuigen onderling, om files en ongelukken te vermijden door hun locaties te vergelijken.

- De groeiende invloed van kunstmatige intelligentie is al duidelijk. AI-gebaseerde methoden maken aanvallers sneller en creatiever. Dit moet worden tegengegaan met een robuuste reactie, zoals AI-gebaseerd preventief scannen op kwetsbaarheden.

- Soms is het gevaar veel tastbaarder: keyless entry-systemen vormen bijvoorbeeld een risico op voertuigdiefstal door het onderscheppen of spoofen van signalen.

Op wie is de nieuwe regelgeving van toepassing en wat zijn de gevolgen?

De nieuwe regels gelden voor alle organisaties die auto's en andere voertuigen op de markt brengen en verplichten hen om de cyberveiligheid van hun producten en systemen in de hele toeleveringsketen te waarborgen. OEM's zijn ook verantwoordelijk voor hun leveranciers - en verplichten hen nu contractueel om de nieuwe vereisten te implementeren.

In het recente verleden hebben verschillende autofabrikanten zich gedwongen gezien om sommige oudere modelreeksen volledig uit productie te nemen. Niet omdat ze niet succesvol waren, maar omdat het simpelweg niet haalbaar (of contractueel afdwingbaar) was om software-updates te garanderen voor de gehele levenscyclus van deze oudere modellen.

De reden: een voertuig heeft meestal een veel langere levenscyclus dan softwareapplicaties. De mogelijkheid om over 10 of meer jaar updates te leveren leek niet gegarandeerd voor de producten die werden uitgefaseerd. Veel OEM's en leveranciers hadden geen rekening gehouden met de kosten die zouden kunnen voortvloeien uit de nieuwe due diligence-verplichtingen van UNECE R 155 tijdens de levenscyclus van voertuigen. De nieuwe vereisten voor CSMS en software-updates zijn bedoeld om ervoor te zorgen dat cyberbeveiligingsverantwoordelijkheden contractueel zijn vastgelegd en dat de nodige vaardigheden en competenties aanwezig zijn gedurende de typische levensduur van 15 jaar van een voertuig. Organisaties kunnen een bewijs van conformiteit voor hun CSMS krijgen door middel van een VCS-audit door DQS.

Wat is een Cyber Security Management Systeem (CSMS) en wat zijn de voordelen? 

Het doel van het implementeren van een CSMS is het systematiseren van cybersecurity in de organisatie en het in lijn brengen met vastgestelde nationale of internationale standaarden. Belangrijke aspecten voor een succesvolle implementatie van een CSMS zijn

- De organisatie moet beschikken over een up-to-date risicobeheersysteem en gedefinieerde robuuste processen voor risico-identificatie, risicobeoordeling en risicobeperking van cyberbedreigingen.

- Risicobeheer omvat de gehele levenscyclus van het product - van ontwikkeling, productie en gebruik tot verwijdering. 

- Door uitgebreide monitoring van nieuwe kwetsbaarheden en bekende aanvallen kan snel worden gereageerd op cyberaanvallen met gerichte updates.

Een CSMS biedt organisaties een aantal voordelen die verder gaan dan risicobeperking en compliance: De belangrijkste is dat het de cyberbeveiliging van de organisatie meetbaar maakt - meestal als onderdeel van een onafhankelijke beoordeling door een geautoriseerde auditdienstverlener. De organisatie weet waar ze aan toe is en kan dat op elk moment bewijzen. Daarnaast bieden externe audits onbevooroordeelde openheid over de aspecten van cyberbeveiliging die nog moeten worden versterkt.

Als onderdeel van dit proces moeten toeleveranciers aan de auto-industrie bovendien een diepgaande en risicogerichte aanpak hanteren om de informatiebeveiliging van het voertuig gedurende de hele levenscyclus te handhaven, waardoor het bewustzijn van cyberbeveiliging op alle hiërarchische niveaus wordt verhoogd. 

UNECE R 155 & 156: Regelgeving voor cyberveiligheid in de auto-industrie

Om de groeiende bedreigingen voor de auto-industrie aan te pakken, lanceerde de VN in de zomer van 2020 twee belangrijke nieuwe reglementen: UNECE R 155 en UNECE R 156.

- UNECE R 155 definieert vereisten voor de bescherming van voertuigen tegen cyberaanvallen en benadrukt de sleutelrol van een zorgvuldig geïmplementeerd Cyber Security Management System (CSMS).

- UNECE R 156, aan de andere kant, richt zich op het waarborgen van continue beveiliging gedurende de levenscyclus van een voertuig en verplicht de implementatie en werking van een standaard Software Update Management System (SUMS).

Beide verordeningen worden begin 2021 van kracht en naleving is pas sinds juli 2022 verplicht voor nieuwe voertuigtypen. Tot slot zullen de voorschriften vanaf 1 juli 2024 van toepassing zijn op alle nieuw geproduceerde voertuigen.

Hoewel er geen twijfel over bestaat dat de nieuwe regels over het algemeen goed zijn, hadden veel organisaties al snel kritiek op de nieuwe regels: Ze waren te algemeen en boden weinig concrete aanbevelingen voor actie. Laten we de nieuwe voorschriften eens nader bekijken. 

De beste weg naar een CSMS: ISO 21434 en de introductie van de cybersecurityaudit voor voertuigen

In augustus 2021 publiceerden de International Organization for Standardization (ISO) en de Society of Automotive Engineers (SAE) ISO/SAE 21434, een internationaal geldende richtlijn voor de implementatie van een CSMS die organisaties als referentie kunnen gebruiken.

Zoals verwacht zijn er echter verschillende interpretaties van de norm in de toepassing. Aangezien het belang van samenhangende beveiligingsmaatregelen bijzonder groot is in de auto-industrie met haar diep geïntegreerde toeleveringsketens, heeft ENX onmiddellijk verbeteringen aangebracht: met de Vehicle Cyber Security (VCS) audits presenteerde het een nieuwe optie voor bewijs van conformiteit die uniformer is en nog beter is afgestemd op de eisen van de industrie.

De wereldwijd gestandaardiseerde VCS audit is nog steeds gebaseerd op de ISO 21434 standaard, maar is aangevuld met een aantal noodzakelijke uitbreidingen in nauwe samenwerking met organisaties in de auto-industrie. Met het oog op de toekomst is de auditcatalogus ontworpen om snel te kunnen worden bijgewerkt als dat nodig is om sneller te kunnen reageren op nieuwe ontwikkelingen in de auto-industrie of het cyberdreigingslandschap.

Hoe kunnen organisaties zich voorbereiden op een VCS-audit?

De voorwaarde voor een VCS-audit is een TISAX® beoordeling, die de conformiteit van het centrale ISMS met TISAX® aantoont. Het ISMS zorgt ervoor dat de fundamentele regels en procedures voor veilige informatieverwerking worden nageleefd. Het aantal locaties dat wordt meegenomen in de VCS-audit moet een subset zijn van de locaties die worden meegenomen in de TISAX® beoordeling. Daarnaast moet er een centraal QMS geïmplementeerd zijn in de organisatie (mogelijke standaarden: IATF 16949, ISO 10007, Automotive SPICE®, ISO/IEC 330xx, ISO/IEC/IEEE 15288 of ISO/IEC/IEEE 12207).

De organisatie moet bepalen welk label het aan OEM's of andere leveranciers moet leveren. Deze labelvereisten bepalen aan welke specifieke vereisten van de VCSA-testcatalogus moet worden voldaan:

     1. VCS-ontwikkeling: de organisatie is verantwoordelijk voor VCS-ontwikkelingsactiviteiten tot aan de productierijpheid.

      2. VCS Productie: de organisatie produceert voorgeconfigureerde VCS componenten op een veilige manier

      3. VCS Operations & Maintenance: de organisatie bewaakt de veilige werking van VCS componenten en beheert beveiligingsincidenten, bijvoorbeeld door updates te ontwikkelen en deze te leveren via het centrale fleet management systeem van de OEM.

Het VCS-auditproces bestaat uit de volgende fasen:

1. In de kickoff presenteert de VCS lead auditor het proces in detail en formuleert hij zijn verwachtingen voor de inbreng van de betrokken mensen en locaties. In deze stap bepaalt de lead auditor het aantal VCS-projecten in de organisatie en hun risicobeoordeling.
2. De organisatie voert een zelfevaluatie uit voor het centrale CSMS op basis van de ENX VCSA-auditcatalogus en legt het resultaat, inclusief de CSMS-documenten waarnaar wordt verwezen, voor aan de lead auditor.
3. Op de locatie waar het centrale CSMS wordt onderhouden, wordt de conformiteit van het beleid en de processen ter plaatse geverifieerd op basis van bewijsmateriaal.
4. De hoofdauditor selecteert een op risico's gebaseerde steekproef uit de reeks VCS-projecten. De risico's kunnen worden afgeleid uit de resultaten van de interne projectevaluatie genaamd Threat Analysis and Risk Assessment (TARA). Als de steekproef ongebruikelijk groter is dan de oorspronkelijke schatting, wordt de DQS-schatting aangepast om de toegenomen inspanning weer te geven.
5. De VCS-projecten in de steekproef bepalen welke ontwikkelteams op welke VCS-locaties specifiek worden meegenomen.
6. Geselecteerde ontwikkelteams worden op afstand geïnterviewd met behulp van een VCS-expert om te bepalen hoe het VCS-project is geïmplementeerd en of in alle fasen van de levenscyclus van het VCS-onderdeel aan de CSMS-vereisten is voldaan.

Net als bij TISAX® ontvangt een succesvol geauditeerde VCS-klant de bovengenoemde labels in de ENX database en kan hij de resultaten beschikbaar stellen aan geïnteresseerde partijen (OEM's en klanten). De VCS-labels zijn 3 jaar geldig. 

Cyberbeveiliging in de auto-industrie: waarom organisaties nu moeten handelen

Zoals hierboven vermeld, wordt de nieuwe regelgeving op 1 juli 2024 van kracht voor alle nieuw geproduceerde voertuigen. In het ergste geval lopen fabrikanten die niet voldoen aan de CSMS- en software-updatevereisten het risico dat ze geen goedkeuring krijgen voor de betreffende voertuigtypen. Certificering volgens de nieuwe VCS-audit daarentegen geeft een sterk signaal af aan regelgevers en zakenpartners, certificeert de implementatie van alle veiligheidsgerelateerde aspecten en zorgt voor vertrouwen op lange termijn gedurende de hele levenscyclus van het voertuig.

Succesvolle certificering met DQS

DQS is uw specialist voor audits en certificeringen van managementsystemen en -processen. Als erkend auditdienstverlener van de ENX Association bieden wij u accreditaties voor alle relevante normen in de automobielindustrie. Met onze producten zoals kwaliteitsmanagement volgens IATF 16949 of onze TISAX®-beoordelingen hebben wij en uw DQS-auditors al uitgebreide branchekennis opgedaan.

Profiteer van de kennis van onze experts en krijg gedetailleerde informatie over de nieuwe voorschriften voor cyberveiligheid in de auto-industrie en de impact ervan op uw organisatie. Met meer dan 35 jaar ervaring en de knowhow van 2.500 auditors wereldwijd, zijn wij uw competente certificeringspartner en bieden wij antwoorden op alle vragen over gegevensbescherming en informatiebeveiliging.