Autofabrikanten opgeroepen cybersecurity serieus te nemen
Een groep beveiligingsonderzoekers heeft autofabrikanten een open brief gestuurd waarin wordt oproepen om de cybersecurity van voertuigen serieus te nemen, aangezien auto's steeds vaker "computers op wielen" aan het worden zijn en het beschermen tegen aanvallen daarom belangrijk is.
De groep noemt zich "I Am The Cavalry" en stelt dat moderne auto's steeds vaker verbonden met en worden bestuurd door software. De afhankelijkheid van technologie in voertuigen is dan ook sneller gegroeid dan de middelen om ze te beveiligen. De groep wil dan ook dat fabrikanten erkennen dat veiligheidsproblemen met voertuigen door cybersecurityproblemen veroorzaakt kunnen worden. Ook roepen ze op tot betere samenwerking met beveiligingsonderzoekers.
Stappenplan
Om fabrikanten concreet op weg te helpen wordt er in de brief een 5-stappenplan beschreven. Zo moet er bij het ontwerp van auto' s al rekening met de IT-veiligheid worden gehouden, zoals het verminderen van aanvalsoppervlakken en het aantal fouten per duizend regels code. Het tweede punt gaat over de samenwerking tussen onderzoekers en de auto-industrie, zoals bijvoorbeeld het starten van beloningprogramma's voor het vinden van bugs, organiseren van hackathons en het opzetten van een 'hall of fame'.
Het derde punt waar fabrikanten mee aan de slag kunnen is ervoor zorgen dat de autosystemen in staat zijn om bewijs op een forensisch verantwoorde wijze te verzamelen. Het vierde punt lijkt misschien iets voor thuiscomputers, maar geldt inmiddels ook voor auto's. Namelijk het uitrollen van beveiligingsupdates. De onderzoekers vinden het belangrijk dat auto's op een veilige, snelle en eenvoudige manier kunnen worden geüpdatet als er beveiligingslekken worden gevonden.
Als laatste pleiten de onderzoekers voor segmentatie en isolatie, waarbij de kritieke autosystemen van de overige systemen zijn gescheiden. Het mag bijvoorbeeld niet voorkomen dat een kwaadaardige infotainment app of aanval via Bluetooth of wifi toegang tot bijvoorbeeld remsystemen of airbags krijgt. Op dit moment delen veel auto's echter hetzelfde geheugen, computing en elektronica voor alle systemen, wat een groot risico is. Om de oproep kracht bij te zetten zijn de onderzoekers ook een petitie gestart.
Die "beveiliging" zal zich vervolgens uiten in compleet dichttimmeren van de systemen zodat diagnoses alleen nog maar via gigantisch veel te dure apparaten te stellen zijn en het reverse engineeren van het protocol van de diagnosepoort met harde crypto bemoeilijkt gaat worden. En vervolgens blijken er nog stapels fouten en gaten in te zitten waar duistere Roemenen en Bulgaren prima slaatjes uit weten te slaan.
Leer mij de industrie kennen. Open standaarden? Kom nou.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.