Cybersecurity – de nieuwe dimensie van automotive kwaliteit

Moderne computergestuurde auto’s vereisen een veilig platform. En dat is precies waar wij mee komen.

Veel mensen lijken te denken dat de automobiel van de 21e eeuw een mechanisch apparaat is. Er zit natuurlijk toegevoegde elektronica in een auto voor een aantal zaken, in sommige meer dan in andere, maar uiteindelijk blijft het een stukje werktuigbouwkunde: chassis, motor, wielen, stuur, pedalen… De elektronica (of zelfs “computers”) helpt slechts mee bij alle mechanische processen. Dat moet ook wel, want dashboards zijn vandaag de dag een zee van digitale schermen met nauwelijks nog analogen wijzerplaten.

Laat ik maar direct zijn: dat is niet zo!

Een auto is vandaag de dag in principe een gespecialiseerde computer, een “cyberbrein” dat de mechanica en elektronica die we normaal gesproken met het woord “auto” associëren bestuurt: de motor, de remmen, de richtingaanwijzers, de ruitenwissers, de airconditioning, alles eigenlijk.

Een voorbeeld: in het verleden was de handrem 100% mechanisch. U trok deze met uw “hand” (stelt u zich eens voor?!) omhoog, en dan klonk er een soort raspend geluid. Tegenwoordig drukt u een knop in. 0% mechanica. 100% computergestuurd. En zo werkt het met bijna alles.

De meeste mensen denken dat het bij een auto zonder bestuurder een computer is die de auto bestuurt. Maar dat als er een mens achter het stuur van een nieuwe auto zit, dan is het diegene die de auto bestuurt (niet een computer), “natuurlijk, gekkie!”

Daar ga ik weer: dat is ook niet zo!

Bij de meeste moderne auto’s is het enige verschil tussen auto’s die zichzelf besturen en auto’s die door een mens worden bestuurd dat in het laatste geval de mens de computers in de auto bedient. In het eerste geval worden de computers in de hele auto bediend door een andere computer, de zeer slimme centrale computer, die wordt ontwikkeld door bedrijven zoals GoogleYandexBaidu en Cognitive Technologies. Deze computer krijgt een bestemming door, observeert alles wat er om hem heen gebeurt en besluit vervolgens hoe hij zich een weg naar de bestemming gaat navigeren, op welke snelheid, via welke route en nog veel meer, allemaal gebaseerd op mega-slimme algoritmes die op de nanoseconde worden geüpdatet.

Een korte geschiedenis van de digitalisering van motorvoertuigen

Wanneer begon deze overstap van mechanica naar digitaal?

Sommige experts in de industrie denken dat de computerisatie van de auto-industrie in 1955 begon, toen Chrysler begon met het aanbieden van een transistorradio als optionele extra in een van hun modellen. Anderen geloven dat een radio niet echt een functie van een automobiel is, en stellen dat het de introductie van de elektronische ontstekings-, ABS- of elektronische regelsystemen voor motors waren die de computerisatie van de auto-industrie inluidden (door Pontiac, Chrysler en GM in respectievelijk 1963, 1971 en 1979).

Hoe het ook begon, wat volgde was ongetwijfeld meer van hetzelfde: meer elektronica. Daarna werd er steeds meer gedigitaliseerd en vervaagde de lijn tussen elektronisch en digitaal. Naar mijn mening begon de digitale revolutie in de auto-industrie in februari 1986, toen het bedrijf Robert Bosch GmbH tijdens de conventie Society of Automotive Engineers hun digitale netwerkprotocol voor communicatie tussen de elektronische componenten van een auto aan de wereld presenteerde: CAN (controller area network). En u moet het die Bosch-lui nageven: dit protocol is vandaag de dag nog altijd relevant en wordt in vrijwel elk voertuig ter wereld gebruikt!

Snelle nerdy post-CAN-introductie digi-automoto-achtergrondinfo: 

De jongens van Bosch gaven ons verschillende soorten CAN-bussen (lage snelheid, hoge snelheid, FD-CAN), en vandaag de dag hebben we FlexRay (transmissie), LIN (bus met lage snelheid), optische MOST (multimedia) en tenslotte, on-board Ethernet (vandaag – 100mbps; in de toekomst – tot wel 1gbps). Bij het ontwerp van auto’s worden er tegenwoordig verschillende communicatieprotocollen toegepast. Zo is er drive by wire (elektrische systemen in plaats van mechanische verbindingen), wat ons het volgende bracht: elektronische gaspedalenelektronische rempedalen (gebruikt door Toyota, Ford en GM in hun hybride elektrische auto’s sinds 1998), elektronische handremmenelektronische versnellingsbakken en elektronisch sturen (voor het eerst gebruikt door Infinity in hun Q50 in 2014).

BMW-bussen en interfaces

 

In het jaar 2000 introduceerde Honda elektronische stuurbekrachtiging (in hun S2000), waardoor het stuur onder bepaalde omstandigheden zichzelf kan draaien.Sleutelloze ontstekingssystemen verschenen rond diezelfde tijd, waardoor de motor bediend kon worden zonder dat daar een bestuurder voor was vereist. Sinds 2010 zijn sommige dashboard-schermen volledig digitaal en kunnen deze u lezingen geven van vrijwel alles. Sinds 2015 is de elektronica van de carrosserie (deuren, ramen, sloten, enz.) van vrijwel alle nieuwe auto’s verbonden met de centrale computer, die hier zelf besluiten over kan nemen. En alle informatie over de wereld buiten de auto is (via camera’s, assistenten, radars, microfoons…) toegankelijk voor de interne bus (lees: in de cloud). 

Ik beëindig deze korte historische uiteenzetting tenslotte met een document, dat in 2019 door de VN werd aangenomen, waarin de normen voor de volledige digitalisering van remmen worden geïntroduceerd. Hiervoor moest de elektronische bediening van rempedalen worden gedupliceerd door een fysieke kabel. Dat is niet meer nodig…  

Verbind of sterf

Maar op welke besturingssystemen draaien de auto’s van tegenwoordig? Hier zijn geen verrassingen: Windows, Linux, Android – en ook een systeem met de naam QNX, dat samen met Linux het populairst is (maar zoals analisten al opmerken is Android bezig met een inhaalrace). Net als met elke software hebben besturingssystemen voor auto’s ook af en toe updates nodig; maar let wel: sommige van die updates kunnen tientallen gigabytes groot zijn. Ai!

Updates boordcomputer BWM

 

Nu nog een kleine stop voor het hoofdgerecht…

Als een moderne auto een computer is en die regelmatig wordt geüpdatet, dat betekent dus dat die met het internet is verbonden, toch? Juist. En dat is tegenwoordig niet slechts een optie, maar verplicht voor alle nieuwe auto’s – in Rusland (sinds 2017), in Europa (sinds 2018), en elders. En vandaag de dag nadert het aandeel van “verbonden auto’s” (verbonden met de cloud van de fabrikant) al snel de 100% wereldwijd. Er zijn een aantal landen waar er beperkingen voor zulke auto’s bestaan, maar dat lijkt alleen zo te zijn vanwege verouderde wetgeving, die op den duur onvermijdelijk zal moeten worden aangepast.

Het eerste verbonden voertuig verscheen trouwens al in 1996, het resultaat van een samenwerking tussen General Motors en Motorola – het telematica-systeem OnStar. Dit systeem kan automatisch verbinding maken met een operator in het geval van een ongeval – precies, net als het “ongeval” in Die Hard 4.

Voertuigdiagnose op afstand werd mogelijk in 2001, en in 2003 hadden verbonden auto’s geleerd hoe ze verslagen van de staat van de auto naar de fabrikant konden sturen. Telematische data-only blocks verschenen in 2007.

In 2014 was Audi het eerste bedrijf dat de mogelijkheid bood om 4G-LTE-WiFi-hotspots in een auto te installeren. In 2015 bood GM niet alleen de optie, maar begonnen ze met het uitrusten van al hun nieuwe auto’s met hotspots en ontvingen ze meer dan een miljard telematische verslagen van autobezitters! Vandaag de dag zijn autoproducenten zelfs begonnen met het monetariseren van telemetrie – waarbij BMW voorop loopt, en tevens het samen laten komen smartphone- en auto-tech.

En dan nu een vraag: wat ziet u in de onderstaande schermafbeelding? ->

Dat, beste lezers, is uw auto; of ten minste hoe die eruitziet voor de fabrikant (in real-time, altijd, voor mensen die bij de fabrikant werken, mogelijk aan de andere kant van de wereld). Software die alle besturingseenheden, de netwerktopologie, routing-regels, laders en updates kan zien én hieraan kan sleutelen, en dat allemaal vanuit de palm van hun hand. Maar ook: bugs en kwetsbaarheden waar u van zou huiveren en waardoor u zou willen terugkeren naar de jaren 80 toen een auto gewoon een auto was – en geen computer ). En dat is geen paniekzaaierij van mijn kant. De dreigingen zijn echtmensen! 

Het licht aan het eind van de tunnel
Na de elektro-digi-auto-aanloop van pakweg de laatste 20 jaar, voelt het alsof er een revolutie in de auto-industrie staat te gebeuren. Maar! Een prachtige toekomst van ultra-verbonden computergestuurde auto’s is mooi om van te dromen, maar we hebben helaas te maken met de harde werkelijkheid, zowel op juridisch als technisch vlak. Ik ga het hier over dat technische gedeelte hebben…

Het nieuwe automotive paradigma kan simpelweg niet zomaar over de allernieuwste architectuur op het gebied van auto-elektronica worden gelegd. Waarom niet? Omdat onder de kap van een nieuwe auto er tegenwoordig zo’n 150 elektronische eenheden zitten die ontwikkeld zijn door verschillende fabrikanten op verschillende tijden en volgens verschillende normen, en dat allemaal zonder rekening te houden met het volledige landschap aan cyberdreigingen van dit nieuwe auto-paradigma.

De autofabrikanten lijken op zijn minst te begrijpen dat het bouwen van een utopische V2X-toekomst bovenop de chaos ratjetoe aan diverse elektronica van een moderne auto simpelweg niet kan (en er zijn tal van voorbeelden die dit aantonen en nog veel meer die de pers niet halen). Dus vooralsnog zit de auto-industrie op een doodlopende weg.

Dit soort uitzichtloze situaties is gebruikelijk. Zo herinnert u zich wellicht nog het lange dualisme van de twee architecturen van Windows (9x en NT) die naast elkaar bestonden. Maar dan nog, als we afgaan op die situatie, voorzie ik voor een opening aan het einde van deze doodlopende weg in de auto-industrie twee mogelijke scenario’s.

De eerste: goedkoop, vrolijk, snel en fout. Doen wat ik zojuist beschreef moet níet worden gedaan: het toepassen van het nieuwe paradigma op het motorvoertuig zoals dat vandaag bestaat (met zijn digitale soep van meer dan 150 ingrediënten). Dit is fout omdat dit het tweede scenario zou vertragen, maar niet voordat het schade aan het leven aanricht (het gaat hier om auto’s en niet om de pc in de hoek van uw studeerkamer), plus ernstige reputatieschade, financiële verliezen én mensen die zullen zeggen “ik zei het toch”.

Het tweede scenario: niet goedkoop, niet snel en goed: het vanaf nul opbouwen van een volledig nieuwe architectuur op basis van drie principes:

  • Het scheiden van de hardware van de software (flexibiliteit)
  • Behoud van elektronische functie (beheersbaarheid)
  • Door secure by design te zijn (veiligheid)

De auto-industrie heeft meer dan genoeg ervaring en kennis wat betreft de eerste twee principes. Wat betreft het derde principe: wat nodig is zijn experts met grondige kennis van bestaande cyberdreigingen die met een oplossing kunnen komen. De slimme auto’s van de toekomst zullen gehackt worden in de scenario’s die we nu zien met computers en netwerken. En wie kent die scenario’s beter dan wie dan ook? U raadt het al! En daarom gaan we nu verder met het derde en laatste segment van deze ietwat lange blogpost: wat wij te bieden hebben.

We hebben al sinds 2016 een speciale afdeling voor transport-cybersecurity. In 2017 lanceerden we het eerste prototype van onze Secure Communication Unit (SCU), die, zoals de naam al verklapt, de communicatie tussen de digitale componenten van een auto en de infrastructurele componenten buiten de auto beveiligt. En vandaag hebben we al een platform dat is gebaseerd op ons eigen veilige besturingssysteem voor de ontwikkeling van elektronische automobielcomponenten.

En in juni in dithoogst ongebruikelijke jaar vond er een ander gerelateerd evenement plaats waar ik u over wil vertellen. Samen met AVL Software en Functions GmbH kondigden we de ontwikkeling van een advanced driver assistance system (ADAS) aan, dat ook is gebaseerd op KasperskyOS en dat de bestuurder assisteert en zelfs het risico op ongevallen beperkt.

De eenheid beschikt over twee hoogwaardige system-on-a-chip-processor veiligheidscontrollers en biedt enorme connectiviteitsmogelijkheden, inclusief links naar camera’s, LIDARs en andere gerelateerde componenten. Het ondersteunt de nieuwe AUTOSAR Adaptive Platform-standaard. Zo’n configuratie biedt aan de ene kant secure-by-design beveiliging (details – hier), en aan de andere kant opent het een hele reeks aan mogelijkheden voor de installatie, aanpassing en het updaten van functies van auto’s. Een beetje zoals wat een app store voor een smartphone is.

Maar dit is het belangrijkste: zelfs als er een kwetsbaarheid wordt ontdekt in een van de componenten van een auto, zullen hackers niet in staat zijn om gevaarlijke commando’s uit te voeren of toegang te verkrijgen tot andere componenten. Alle processen zijn volledig geïsoleerd en hun gedrag wordt gefilterd door een beveiligingssubsysteem met aangepaste regels.

Nawoord

Fingers crossed – we hebben hier een echte winnaar te pakken met onze tech-oplossingen voor de automatisering van auto’s. Het is een drukke markt, maar we hebben geen concurrentie als het gaat om de (cruciale) nichesectie van cybersecurity.

En als leden van GENIVI en AUTOSAR en door forums (bijv. UNECE WP.29) en industrie-evenementen te volgen, zien we verschillende pogingen van anderen om een nieuwe architectuur te bouwen, inclusief Linux-gebaseerd (al zult u mij nooit in een auto stappen met een op Linux-gebaseerde architectuur!). Maar geen van die plannen biedt die horizon aan mogelijkheden en wiskundig bewezen security-by-design-formule waar bugfixes en oplossingen later simpelweg niet bij nodig zijn.

Onze formule omvat: (i) een vanaf nul geschreven micro-nano-kernel-architectuur met compacte code; (ii) granulaire componentcommunicatieregels; (iii) volledige isolatie van processen; (iv) operaties die worden uitgevoerd in een beschermde adresruimte; (v) default deny; (vi) optionele open source code voor klanten; (vii) voorbeelden van succesvolle implementatie… – en het zijn dit soort kenmerken van ons besturingssysteem die autofabrikanten aantrekken, de fabrikanten die het goed willen aanpakken: betrouwbaar en op duurzame wijze.

Maar dat is het niet enige dat fabrikanten aantrekt.

Behalve onze knowhow wat betreft voertuigbeveiliging hebben we ook een verbluffend portfolio aan infrastructuur-oplossingen en -diensten. Het beschermen van de auto van de toekomst is slechts één deel van de puzzel. Verder aan de keten is er: het beschermen van backend-gegevens inclusief de endpoint nodes; cloud-audits (om op lekken te controleren); de ontwikkeling van veilige mobiele apps; bescherming tegen online fraude; supply-chain-controle; pen-testing van de infrastructuur; en nog veel meer. Want wie wil er met een hele “dierentuin” aan verschillende vendors werken om al deze zaken los van elkaar geregeld te krijgen?

Tenslotte nog een aantal illustratieve citaten uit McKinsey’s rapport over de cybersecurity van verbonden auto’s – naar mijn mening het meest visionaire analytische materiaal op de markt:

“Autofabrikanten moeten eigendom en verantwoordelijkheid toewijzen voor [cybersecurity] langs fundamentele waardeketen-activiteiten (inclusief onder hun vele leveranciers) en een beveiligingscultuur onder de kernteams omarmen.”

“Spelers in de auto-industrie moeten rekening houden met cybersecurity over de hele productcyclus en niet alleen tot het moment dat de auto aan een klant wordt verkocht, want er kunnen op elk moment nieuwe technische kwetsbaarheden aan het licht komen.”

“Autofabrikanten moeten cybersecurity nu als een integraal onderdeel van hun core business en ontwikkelingsinspanningen beschouwen.”

In andere woorden: “cybersecurity wordt de nieuwe dimensie van automotive kwaliteit”.

Tips