NIS2 en de veiligheid van de Automotive Sector: Bescherming tegen Cyberdreigingen

Cybersecurity bedreigingen blijven een donkere schaduw werpen over de automotive industrie, zoals recente incidenten aantonen. Deze incidenten benadrukken de kwetsbaarheid van de industrie voor kwaadaardige aanvallen. Van prominente ransomware inbraken tot datalekken en infiltraties in controlesystemen, de automotive sector staat voor aanzienlijke uitdagingen om zijn digitale infrastructuur te beschermen. De aanstaande implementatie van de NIS2 richtlijn heeft tot doel de cyberveerkracht te versterken en de financiële en reputatieschade als gevolg van cyberincidenten te beperken. Er is dringend actie vereist om de digitale infrastructuur van deze industrie te beschermen tegen toenemende cybersecurity bedreigingen. 

DIT ARTIKEL IS GESCHREVEN DOOR MOURAD SEGHIR EN CEM ADIYAMAN. MOURAD ([email protected]) EN CEM ([email protected]) HEBBEN EEN STERKE FOCUS OP RECHT & TECHNOLOGIE BINNEN RSM NETHERLANDS BUSINESS CONSULTING SERVICES.

Volgens brancherapporten is er in de afgelopen drie jaar een verontrustende stijging van 225% [1] gezien in cyberaanvallen. Op afstand uitgevoerde cyberaanvallen vormen het grootste deel, namelijk 85% van alle incidenten.[2] Achterliggende servers zijn een belangrijk doelwit, met 40% van de aanvallen gericht op deze servers. De verwachte financiële verliezen als gevolg van cyberaanvallen in de industrie zullen naar schatting oplopen tot wel $505 miljard tegen 2024.[3] Deze cijfers benadrukken de dringende noodzaak van robuuste cybersecuritymaatregelen en een allesomvattende aanpak om zowel automotive bedrijven als hun klanten te beschermen. Naarmate de automotive industrie haar digitale transformatie voortzet, moeten proactieve stappen worden ondernomen om de verdediging te versterken en een stap voor te blijven op cybercriminelen.

Deze cyberaanvallen illustreren de schade die automotive bedrijven kunnen lijden. Van financiële verliezen en operationele verstoringen tot reputatieschade en gecompromitteerde veiligheid, de gevolgen van dergelijke aanvallen strekken zich verder uit dan alleen de directe financiële impact. Ze benadrukken de hoge belangen die gepaard gaan met het beveiligen van de automotive industrie tegen cyberbedreigingen en het belang van het implementeren van uitgebreide cybersecuritymaatregelen.

Waarom wordt de Automotive Industrie geviseerd en wat kunnen aanvallers bereiken? 

De automotive industrie is een aantrekkelijk doelwit geworden voor cybercriminelen vanwege de toenemende afhankelijkheid van technologie en connectiviteit. Naarmate voertuigen steeds meer geïntegreerd raken met geavanceerde systemen en verbonden worden met externe netwerken, vormen ze een aantrekkelijk doelwit voor hackers om te exploiteren. Van infotainmentsystemen tot autonome rijmogelijkheden, elk onderdeel van een modern voertuig vormt een potentieel toegangspunt voor cyberaanvallen. De kwetsbaarheid van de automotive industrie wordt verder versterkt door de sterk gedigitaliseerde en gerobotiseerde productiefaciliteiten. Deze faciliteiten zijn afhankelijk van onderling verbonden systemen en automatisering, wat extra ingangen creëert voor kwaadwillende actoren. Een opmerkelijk voorbeeld dat de potentiële gevolgen illustreert, is de cyberaanval op een staalfabriek in Duitsland in 2014. Bij dit incident kregen aanvallers toegang tot de controlesystemen via met valstrikken beladen e-mails, met als gevolg ernstige storingen in de fabriek en het onvermogen om een hoogoven zoals bedoeld af te sluiten.

De motivatie voor hackers die de automotive industrie aanvallen is tweeledig: financieel gewin en datamisbruik. 

Door automotive systemen binnen te dringen, kunnen kwaadwillende actoren controle krijgen over kritieke functies zoals sturen, remmen en accelereren, met mogelijk ongevallen tot gevolg of het gijzelen van voertuigen voor losgeld. Bovendien vormt de overvloed aan gegevens die door verbonden voertuigen worden gegenereerd, waaronder persoonlijke informatie en locatiegegevens, een lucratief doelwit voor cybercriminelen die betrokken zijn bij identiteitsdiefstal, financiële fraude of zelfs door de staat gesponsorde spionage. 

Niet alleen voertuigfabrikanten lopen risico, maar ook de intelligente transportsystemen (ITS) die het automotive ecosysteem ondersteunen, worden geconfronteerd met aanzienlijke bedreigingen. ITS zijn systemen waarin informatie- en communicatietechnologieën worden toegepast op het gebied van wegvervoer, inclusief infrastructuur, voertuigen en gebruikers, en op verkeersbeheer en mobiliteitsbeheer, evenals voor interfaces met andere vervoerswijzen. ITS vormen een complex web dat, indien gecompromitteerd, kan leiden tot grootschalige verstoringen, ongevallen en zelfs gerichte sabotage.

Bovendien kunnen de gevolgen van een cyberincident in een automotive fabriek ernstig zijn. Productiefaciliteiten in de automotive industrie zijn sterk afhankelijk van digitale systemen en automatisering. Een succesvolle cyberaanval op een dergelijke faciliteit kan productieprocessen verstoren, de kwaliteitscontrole compromitteren en leiden tot aanzienlijke financiële verliezen. De aangetaste integriteit van productiesystemen kan resulteren in defecte of gecompromitteerde onderdelen, wat van invloed is op de veiligheid en betrouwbaarheid van voertuigen.

Tenslotte kan een cyberincident in een automotive fabriek verregaande gevolgen hebben, zoals verstoringen in de toeleveringsketen, diefstal van intellectueel eigendom en persoonlijke gegevens, vertraagde leveringen en reputatieschade. De gevolgen kunnen zich uitstrekken tot dealerships, leveranciers en zelfs klanten die afhankelijk zijn van de tijdige beschikbaarheid van voertuigen en onderdelen.

NIS2: Het Verzekeren van Cyberveerkracht in de Automotive Sector

Met het oog op de dringende noodzaak om cybersecurity-veerkracht te verbeteren, heeft de Europese Unie de Network and Information Systems Directive 2 (NIS2) geïmplementeerd. Deze richtlijn heeft tot doel de veerkracht van infrastructurele sectoren, waaronder de automotive industrie, tegen cyberbedreigingen te waarborgen. Compliance met NIS2 is verplicht voor organisaties die actief zijn in Europa en vereist dat zij proactieve maatregelen nemen om risico's te beheersen, cybersecurity-incidenten te voorkomen en adequaat te reageren op eventuele inbreuken die zich kunnen voordoen.

Onder de NIS2-richtlijn wordt de automotive industrie onderverdeeld in twee categorieën: Zeer Kritieke Sectoren en Andere Kritieke Sectoren. De Zeer Kritieke Sectoren omvatten exploitanten van Intelligente Transportsystemen (ITS) die verantwoordelijk zijn voor het beheer en de exploitatie van de onderling verbonden systemen die betrokken zijn bij wegtransport, verkeersbeheer en mobiliteitsbeheer. Deze entiteiten spelen een cruciale rol bij het waarborgen van de veilige en efficiënte werking van de ITS-infrastructuur. Aan de andere kant omvatten de Andere Kritieke Sectoren entiteiten die betrokken zijn bij de productie van motorvoertuigen, aanhangwagens, opleggers of andere transportmiddelen. Deze entiteiten zijn belast met het produceren en assembleren van voertuigen en aanverwante apparatuur, en zij zijn verplicht om te voldoen aan de cybersecurityverplichtingen die in de NIS2-richtlijn worden gespecificeerd.

Onder de NIS2-richtlijn moeten entiteiten in de automotive industrie voldoen aan cybersecuritymaatregelen zoals risicoanalyse, informatiebeveiligingsbeleid, incidentafhandeling en basispraktijken voor cyberhygiëne. Het niet naleven kan resulteren in boetes die meer dan 2% van de wereldwijde omzet bedragen, evenals bestuurlijke en persoonlijke aansprakelijkheid. Niet-naleving brengt ook het risico met zich mee van aanzienlijke reputatieschade, wat moeilijk te herstellen is. Het is van vitaal belang dat automotive entiteiten cybersecurity prioriteit geven, zich houden aan de NIS2-richtlijn en het vertrouwen van klanten, stakeholders en het publiek behouden.

Wat kunt u doen: Proactieve stappen zetten en deskundige hulp zoeken 

Gezien de escalerende dreiging van cyberaanvallen, moeten automotive bedrijven proactieve stappen ondernemen. Regelmatige software- en firmware-updates, toegangsbeheerbeleid en activabeheer, en uitgebreide trainingsprogramma's voor medewerkers zijn enkele van de maatregelen die de veerkracht tegen cyberaanvallen aanzienlijk kunnen versterken.

Echter, gezien de complexiteit en voortdurend evoluerende aard van cybersecurity en regulering, is het raadplegen van gespecialiseerde consultants cruciaal. Deze professionals kunnen automotive bedrijven helpen bij het uitvoeren van grondige risicoanalyses, het ontwikkelen van op maat gemaakte cybersecuritystrategieën en het implementeren van robuuste beveiligingsmaatregelen. Door gebruik te maken van de kennis en ervaring van consultants die goed op de hoogte zijn van de unieke uitdagingen waarmee de automotive industrie wordt geconfronteerd, kunnen bedrijven cybercriminelen een stap voor blijven, risico's effectief beheersen en hun bedrijfsvoering en klanten beschermen. Naleving van voorschriften zoals NIS2, in combinatie met proactieve maatregelen en deskundige begeleiding, kan automotive bedrijven in staat stellen cyberbedreigingen effectief te bestrijden en de veiligheid en het vertrouwen van bestuurders en passagiers te waarborgen.