In Nederland en Europa groeit de ophef rond de AI-hacktool Mythos. Het debat raakt direct aan autobeveiliging en connected auto’s, nu RDW-toelating en UNECE R155 strengere eisen stellen. Beveiligingsexperts discussiëren deze week fel over wat de tool kan en hoe serieus de dreiging is. Voor automobilisten, leaserijders en autobedrijven draait het om één vraag: wat betekent dit voor de veiligheid van voertuigen en laadinfra?
AI-hacktool Mythos zet autosector op scherp
Mythos wordt gepresenteerd als een AI-gestuurde hacktool die kwetsbaarheden sneller kan vinden en misbruiken. Concrete technische details zijn schaars, wat de onrust én scepsis aanwakkert. Critici spreken van bangmakerij, terwijl anderen waarschuwen dat generatieve AI de drempel voor aanvallers verlaagt. De kern: het risico op digitale inbraken in voertuigen en laadsystemen krijgt nieuwe aandacht.
Die aandacht is logisch, omdat moderne auto’s steeds meer online functies hebben. Modellen van onder meer Tesla, BMW en Volkswagen ontvangen regelmatig over-the-air updates; dat zijn draadloze softwarepatches zonder werkplaatsbezoek. Deze voordelen vergroten ook het aanvalsvlak, bijvoorbeeld via infotainment, telematica of gekoppelde smartphone-apps. Daarmee schuift cybersecurity op van IT-kwestie naar voertuigveiligheid.
Ook de keten rond het voertuig is relevant: van laadpalen tot back-endplatforms en dealersystemen. Een storing of hack bij een toeleverancier kan doorwerken naar de auto of naar diensten zoals navigatie en laden. Voor de Nederlandse markt komt daarbovenop dat typegoedkeuring en handhaving steeds meer eisen stellen aan cyberweerbaarheid. Dat maakt Mythos, hype of niet, een actueel signaal voor de sector.
Connected auto’s vragen strengere beveiliging
De connected auto is een “computer op wielen” met sensoren, verbindingen en apps. Steeds meer modellen draaien Android Automotive OS, terwijl Apple CarPlay en Android Auto smartphonefuncties spiegelen. Elk extra kanaal betekent potentieel meer risico als beveiliging tekortschiet. De basis is daarom scheiding van kritieke systemen en snelle patching van bekende lekken.
De interne voertuigcommunicatie loopt vaak via de CAN-bus; dat is het netwerk waarmee regeleenheden in de auto met elkaar praten. Toegang tot dat netwerk hoort strikt afgeschermd te zijn, bijvoorbeeld via gateways. In de praktijk kan misconfiguratie leiden tot ongewenste toegang tot voertuigfuncties. Daarom zijn procesafspraken net zo belangrijk als techniek.
Ook randapparatuur verdient aandacht, zoals dongles voor fleetmanagement of aftermarket-trackers. Zulke apparaten gebruiken de OBD-poort; dat is de diagnoseconnector voor uitlezen en service. Onveilig beheer van accounts en sleutels kan daar misbruik mogelijk maken. Met de opkomst van AI-ondersteunde aanvalstools wordt die menselijke factor nog kritischer.
RDW en UNECE R155 stellen eisen
In de EU gelden sinds 2024 nieuwe typegoedkeuringseisen voor cyberbeveiliging onder UNECE R155. Voor Nederland toetst de RDW of een fabrikant een Cyber Security Management System heeft en risico’s onder controle houdt. Vanaf juli 2024 geldt dit voor nieuwe voertuigtypes; vanaf juli 2026 voor alle nieuw te registreren voertuigen. Daarmee verschuift cybersecurity van “best effort” naar wettelijke plicht.
Aanvullend verplicht UNECE R156 goed proces voor software-updates in de hele levenscyclus. Dat raakt alles rond over-the-air updates, inclusief testen, uitrol en terugdraaien bij problemen. Voor automobilisten betekent dit sneller en aantoonbaar veiliger patchen. Voor fabrikanten en dealers betekent het documenteren, monitoren en kunnen aantonen wat, wanneer en waarom is geüpdatet.
Ook leveranciers moeten meebewegen via normen als ISO/SAE 21434, de standaard voor automotive cybersecurity. Het raakt direct de keten van infotainment, telematica en laadinfra tot aan aftersales. Ongeteste of onbeheerde software brengt het risico op typegoedkeuringsproblemen met zich mee. Dat is een financieel en operationeel risico voor importeurs en dealers.
UNECE R155 verplicht autofabrikanten tot aantoonbare cyberbeveiliging voor voertuigen gedurende ontwerp, productie en gebruiksfase; R156 regelt het veilige proces voor software-updates.
Impact voor leaserijders en wagenparken
Voor leaserijders en fleetmanagers verschuift cybersecurity van IT naar mobiliteit. Apps voor toegang, laden en ritregistratie zijn nu kritieke bedrijfsonderdelen. Onveilige accounts of verouderde telematica kunnen leiden tot misbruik of stilval. Heldere afspraken met leasemaatschappijen over updates en incidentafhandeling worden belangrijker.
Ook data speelt mee: voertuigen delen informatie met cloudservices en leveranciers. Dat moet veilig én volgens de regels gebeuren, bijvoorbeeld onder de AVG voor persoonsgegevens. Een incident kan operationele én privacygevolgen hebben. Snelle detectie en herstel beperken daar de schade.
Servicelevels gaan mee veranderen door strengere wetgeving. Contracten zullen vaker termijnen bevatten voor het dichten van kwetsbaarheden en voor noodpatches. Wagenparken vragen bovendien inzicht in softwareversies en update-status per voertuig. Dat maakt rapportage en monitoring een vast onderdeel van het mobiliteitsbeheer.
Laadinfra en apps zijn zwakke schakels
De laadinfrastructuur is een doelwit vanwege transacties en beschikbaarheid. Back-ends van laadpalen communiceren vaak via OCPP; dat is een open protocol tussen paal en beheerplatform. Een verstoring kan facturatie of toegang tot laadpunten raken. Voor Nederlandse EV-rijders kan dat direct leiden tot wachttijden of omrijden.
Thuisladers en wallboxes hangen op wifi of ethernet en krijgen firmware-updates. Onveilige configuraties of uitgestelde updates vergroten risico’s, ook zonder directe voertuigtoegang. Fabrikanten moeten daarom helder updatebeleid voeren en kwetsbaarheden snel dichten. Dat sluit aan op de eisen uit R156 over het updateproces.
Over Mythos zelf geldt dat er op het moment van schrijven geen publiek bevestigde incidenten zijn waarbij Nederlandse voertuigen of laadpalen via deze tool zijn aangevallen. Toch nemen operators en fabrikanten signalen serieus en monitoren zij actief. Het Nationaal Cyber Security Centrum (NCSC) deelt richtlijnen voor detectie en respons. De sector staat paraat om sneller te patchen als nieuwe lekken opduiken.
