Bij Aon houdt Evert-Jeen van der Meer zich als Industry Director Mobility vrijwel dagelijks bezig met de kansen en risico’s die zich voordoen in de zich razendsnel ontwikkelende voertuigenmarkt. Deze bevindt zich in een transitie naar elektrisch rijden en uiteindelijk, zelfrijdend verkeer. Auto’s en vrachtwagens bevatten hiermee ook steeds meer elektronica en zo ook, software.

Meer software dan in een straaljager

Autofabrikanten vinden het borgen van cybersecurityrisico’s steeds belangrijker, zegt van der Meer. “Dit om te voorkomen dat hackers toegang krijgen tot elektronische systemen en data. In het ergste geval vormen ze een bedreiging voor de veiligheid van het voertuig en de privacy van de eigenaar en/of bestuurder.” Veel bewustzijn hierover is er namelijk niet. “Veel eigenaren van recent gebouwde auto’s realiseren zich niet dat hun auto voorzien is van minimaal 150 elektronische control units en meer dan 100 miljoen lines of software code. Dat is vier keer meer dan in een moderne straaljager. Door meer connectiviteit en vergroten van autonome functies zal het aantal lines stijgen tot 300 miljoen richting 2030.”

Risico’s voor verzekeraars bij updaten

Het is de vraag in hoeverre verzekeraars extra risico’s lopen door het Over-the-Air (OTA) updaten door fabrikanten van auto’s. Via deze OTA’s brengen de fabrikanten regelmatig recalls uit om aan het licht gekomen fouten of bugs in software te herstellen met een software-update. Maar hoe groot de risico’s precies zijn voor verzekeraars door Over-the-Air-updates is nog onbekend. Van der Meer: “Tot nu toe zijn er geen grootschalige incidenten geweest. In de Netflix-film Leave the Word Behind wordt wel een griezelig echt scenario gepresenteerd met op hol geslagen autonoom rijdende Tesla’s.”

Wanneer een fabrikant aan de eigenaar of bestuurder van een auto een Over The Air update aankondigt en de eigenaar deze accepteert, is dat het meest kwetsbare moment voor digitale inbraak in de software van autosystemen. Het risico is dan het grootst dat criminelen toegang kunnen verkrijgen tot de software. Verzekeraars kijken per definitie naar dit risico, ook al is de mogelijkheid theoretisch.

Dreiging met gijzelsoftware

Van der Meer: “Criminelen zouden software van een flink aantal voertuigen grootschalig kunnen manipuleren via OTA’s. Wat zou dan het verdienmodel zijn? Dreigen met ransomware en die verbinden aan een ultimatum met financiële eisen lijkt een logische. Stelen is een minder interessant scenario omdat veel auto’s een track systeem hebben met een zelfstandige unit en voeding.”

Verouderde elektronica eveneens risico

Lang niet alle automobilisten voeren de door autofabrikanten geleverde updates uit, voegt Van der Meer hier aan toe. “Net als bij smartphones en computers kan dit potentieel veiligheidsrisico’s met zich meebrengen. De recall vindt immers niet plaats. Bovendien, net als bij smartphones kan een elektrische auto na een aantal jaar technisch dermate zijn verouderd, dat gebruikers nieuwe software niet meer kunnen installeren. Ook dan kan de noodzakelijke recall niet meer plaatsvinden en ontstaan gaten in de beveiliging waar criminelen gebruik van kunnen maken.”

VN-regels voor digitale veiligheid wereldwijd

Voor de consument en voor de private- of zakelijke leaserijder is het nog onduidelijk of de auto waarin hij rijdt of wil gaan rijden voldoet aan de hoogste eisen van cybersecurity. Ondertussen komen wel mondiaal protocollen tot stand, zegt Van der Meer. Met name vanuit de VN. “Er zijn twee regulations op het gebied van cybersecurity en software-ipdates gekomen. Deze stellen preventieve eisen, om te voorkomen dat de toegang tot auto’s door hackers plaatsvindt. Denk aan auditeisen voor autofabrikanten maar ook testen van use cases. Uniek is wel dat dit de eerste internationale geharmoniseerde en bindende normen zijn.”

Veiligheid al vanaf ontwerp inbouwen

De twee VN-regulations zijn overgenomen door UNECE’s World Forum for Harmonization of Vehicle Regulations. “Ze eisen van autofabrikanten dat ze de cyberrisico’s van auto’s onder controle hebben. Ze moeten deze al in het ontwerp en de hele waardeketen implementeren. Ook is het detecteren en verhelpen van inbreuken op de veiligheid verplicht gesteld. Ook dienen autofabrikanten er voor te zorgen dat de software-updates veilig plaatsvinden.”

Meer dan 53 landen hebben de regels ingevoerd inclusief dus de 27 EU-landen. Ook de wereldmerken uit Japan en Zuid-Korea sluiten aan. Van der Meer: “Op basis van deze regels moeten autofabrikanten zogeheten forensische tools inzetten om pogingen van cyberattacks te analyseren. Ze moeten ook documenteren hoe ze deze succesvol hebben afgeslagen. Het scenario van hacken tijdens laden is hierin nog niet opgenomen. Aangezien autofabrikanten verplicht zijn om jaarlijks aan autoriteiten te melden dat ze te maken hebben gehad met een cyberaanval is dit voor verzekeraars iets om in de gaten te houden.”

Laadpunten eveneens kwetsbaar

Een auto blijkt niet alleen bij een OTA kwetsbaar, ook op het moment dat de auto verbinding maakt met een laadpunt. Van der Meer: “Recent werd bekend dat op het moment dat de auto verbinding maakt met een laadpunt, software tijdelijk open staat. Derden kunnen dus op dat moment het voertuig hacken met alle gevolgen van dien. Ook hier zullen autofabrikanten zich voor moeten inzetten.”

Veiligheid van Europees wagenpark nog onduidelijk

Hoe zit het met de cybersecurity van het huidige wagenpark in de EU? Van der Meer: “De gemiddelde leeftijd van het Europese wagenpark is 12 jaar, in de VS zelfs 12,5 jaar. Autofabrikanten hebben naast de kapitaalintensieve elektrificatie van modellen en rigoureuze aanpassingen van productielijnen ook nog te maken met het digitaal beveiligen van hun bestaande modellen. Zowel voor de consument als ook voor verzekeraars is niet duidelijk welke automerk cybersecurity goed op orde heeft. Euro NCAP heeft in haar Roadmap 2025 al wel aangekondigd dat ook zij er aandacht gaan geven, net als de botsveiligheid en werking van rijhulpsystemen (zgn. ADAS), in hoeverre dit te meten en te beoordelen is.”