In 2024 is de cybersecurity in de autobezorging van labdemonstraties naar de top van de agenda van de directiekamers gegaan. Onderzoekers, criminelen en infrastructuurproblemen kwamen samen om de software van moderne auto’s grondig op de proef te stellen. Van prijswinnende hacks tijdens een industrie-hackwedstrijd in Tokio tot een IT-meltdown bij een dealer in de VS en een veelbesproken firmware-update voor laders in september, het jaar benadrukte hoe belangrijk software is voor de handel, net als de wielen. Ook toezichthouders hebben de teugels aangetrokken, met nieuwe cybersecurity-eisen die in belangrijke markten van kracht werden. De directe gevolgen waren duidelijk zichtbaar: updates via de lucht, afspraken voor service en noodplannen die van fabrieken tot showrooms stromen.
Tijdens de Pwn2Own Automotive in januari in Tokio hebben beveiligingsteams werkende exploits gedemonstreerd tegen voertuigcomponenten en -diensten, waaronder een Tesla-doel en infotainment- en telematicasystemen van derden. Ze verdienden zes cijfers aan prijzen en dwongen fabrikanten tot snelle reacties. De organisatoren legden de nadruk op gecoördineerde openbaarmaking, en de betrokken fabrikanten hebben binnen enkele dagen over-the-air updates uitgerold of adviezen met patch-tijdlijnen uitgegeven. Het evenement liet de groeiende volwassenheid zien in de bug-bountyprogramma's van autofabrikanten en de waarde van red-team oefeningen voordat aanvallers dezelfde kwetsbaarheden ontdekken. Voor bestuurders was het directe effect een update-melding en, steeds vaker, transparante release-opmerkingen waarin werd uitgelegd wat er veranderd was en waarom.
Buiten het lab maakten criminelen gebruik van keyless-entry relays en CAN-bus injectie om populaire SUV's te stelen, wat leidde tot tegenmaatregelen van merken zoals Toyota en Jaguar Land Rover begin 2024. Autofabrikanten boden retrofits, verstevigde bekabeling en softwarewijzigingen aan, terwijl nieuwere modellen ultra-brede digitale sleutels toevoegden om relay-aanvallen te bemoeilijken. Politiekorpsen in het VK en de EU meldden een afname van diefstal voor modellen die de updates hadden gekregen, hoewel oudere voertuigen nog steeds een verhoogd risico lopen totdat de afspraken zijn afgerond. Verzekeraars hebben ondertussen de premies en vereisten aangepast, waarmee ze eigenaren aanmoedigden tot beveiligingsupgrades en Faraday-opslag voor oudere sleutels.
Het aanvalsurface breidde zich verder uit dan de auto zelf toen een cyberaanval in juni op CDK Global duizenden Amerikaanse dealers offline dwong, waardoor de verkoop en reparatieopdrachten dagenlang werden vertraagd. Hoewel er geen voertuigen op afstand werden bestuurd, toonde de verstoring aan hoe dealerbeheersystemen en onderdelennetwerken nu deel uitmaken van de beschikbaarheid en veiligheid van voertuigen. Op het regelgevende front werden de UNECE WP.29 R155 vereisten van toepassing op alle nieuwe voertuigregistraties in veel markten vanaf juli 2024, waarmee cybersecurity-beheersystemen en verplichtingen voor incidentrespons werden geformaliseerd.
Autofabrikanten geven aan dat de regels hebben geholpen om veilige update-pijplijnen en leveranciersaudits die al aan de gang waren te versnellen. Ook de oplaadinfrastructuur kwam onder de loep te liggen nadat onderzoekers in september onthulden dat een privé-sleutel die in bepaalde ChargePoint laadstationfirmware was ingebed, kon worden misbruikt om apparaten te imiteren; het bedrijf introk certificaten en bracht updates uit. Nutsbedrijven en wagenparkoperators coördineerden om referenties te roteren en de identiteit van laders te verifiëren, waardoor de stilstand voor bestuurders tot een minimum werd beperkt. Dit voorval versterkte de oproepen voor strengere code-signing hygiëne en routinematige penetratietests voor EV-leveringsapparatuur.
Met het oog op 2025 geven branchegroepen prioriteit aan de implementatie van ISO 15118-20 en continue monitoring, met als doel beveiligingsfixes zo routinematig—en onzichtbaar voor bestuurders—te maken als elke andere onderhoudsronde.
