Onafhankelijke onderzoekers ontdekten onlangs ernstige beveiligingsissues bij voertuigen van maar liefst 16 verschillende autoproducenten, met een grote impact op uiteenlopende zaken, van veiligheid tot persoonlijke data. Het SANS Institute, wereldleider in cybersecuritytraining en -certificering, roept de industrie daarom op om serieus werk te maken van de beveiliging van hun apps en data.
Naarmate technologie zijn intrede doet in zowat elk aspect van ons leven en alles meer en meer verbonden raakt, wordt gegevens- en informatiebeveiliging steeds belangrijker. Daarbij gaat het soms echter zo snel dat die beveiliging uit het oog wordt verloren. Een perfect voorbeeld daarvan zijn de auto’s van vandaag: onderzoekers ontdekten dat beveiligingsfouten in vierwielers van niet minder dan 16 verschillende merken kunnen worden misbruikt om de locatie ervan te bepalen, ze te vergrendelen en ontgrendelen, de motor te starten en stoppen, accounts over te nemen en vanop afstand bepaalde commando’s uit te voeren, en nog andere zaken.
“Consumenten verwachten vandaag hun voertuigen vanop afstand te kunnen bedienen en ontgrendelen, en dus rollen fabrikanten dergelijke functionaliteiten sneller uit dan ze ze kunnen beveiligen. Maar het is niet omdat je app nieuw en cool is, dat je de basisbeginselen zomaar mag vergeten”, zegt John Pescatore, Director of Emerging Security Trends bij het SANS Institute. “Jammer genoeg is het zonneklaar dat veel online apps en portalen van autobouwers niet noemenswaardig op veiligheid getest zijn voordat ze voor het publiek worden opengesteld.”
Een rode draad zijn bijvoorbeeld serviceportalen die zwakke single-sign-on-implementaties gebruiken om klanten gemakkelijk toegang te geven tot bepaalde diensten via apps en webbrowsers. En doordat mobiele apps, websites, netwerken en (externe) diensten meer en meer met elkaar verbonden zijn, is het cliché van de zwakste schakel hier van toepassing – met alle risico’s van dien.
“Naarmate auto’s meer en meer software bevatten, neemt de behoefte aan ontwikkelaars met een achtergrond in veilige softwareontwikkeling sterk toe. Maar omdat daar momenteel een tekort aan is, rollen producenten de bestaande functionaliteiten maar gewoon verder uit, waardoor ze niet alleen de veiligheid maar ook de persoonlijke data van gebruikers in gevaar brengen”, vervolgt John Pescatore. “Third-party software moet volledig getest worden, net als intern ontwikkelde code. Op langere termijn is het duidelijk dat het ontwerpen en testen van veilige software een steeds belangrijker onderdeel van het autofabricageproces zal worden – en dat is niet meer dan terecht.”