Автомобильная промышленность борется с созданием кибертраста

Dec 18, 2023

Для успешной экосистемы должно быть трудно заметное, но постоянное понимание со стороны ... [+] правительств, производителей, поставщиков и субпоставщиков того, что соответствующие конструкции, тесты и улучшения внедряются и поддерживаются для укрепления доверия к кибербезопасность.

Припев гимна Джона В. Петерсона 1970 года звучит так: «Я буду доверять тебе, когда я не вижу, когда я сталкиваюсь с невзгодами, и верю, что твоя воля всегда будет лучше для меня. Я буду доверять, даже когда не вижу». Возможно, это хорошо для церкви, но это не были тексты автомобильной кумбая на протяжении почти последнего десятилетия с тех пор, как в журнале Wired Magazine были показаны Чарли Миллер и Крис Валасек, удаленно взломавшие Chrysler. Эта технологическая веха привлекла внимание отрасли к надвигающемуся потоку хакерских атак и подчеркнула острую необходимость повысить доверие к надежности всей системы.

Однако эта уверенность многоуровневая и сложная: доверие разработчиков, доверие экосистемы и доверие покупателей.

Доверие к тому, что поставщик разработал проект, код и тесты для обеспечения безопасности системы, требует от системы ... [+] проведения большого количества проверок и последующих действий.

Уровень доверия от производителя и ниже почти такой же глубокий, как в триллере 2010 года «Начало». Генеральный директор должен доверять директору по информационной безопасности (CISO), который должен доверять руководству среднего звена, контролирующему требования, встроенные в программы транспортных средств (а также внутренние ИТ), будут соответствовать или превосходить правила, действующие во всем мире. После этого главный инженер должен быть уверен, что разработчики как производителя, так и поставщиков усвоили требования технической безопасности и сформулировали процесс и продукт, которые обеспечивают желаемое обнаружение и защиту. После этого разработчик уверен, что инженер по тестированию разработал планы тестирования и сценарии для выявления любых уязвимостей. И затем все это повторяется в течение следующих двадцати лет по мере возникновения новых кибератак. В каждом автомобиле. В каждой системе. По каждому компоненту.

Решение 1: Первое, старое решение – это оценка процесса. Если инженеры следуют рекомендациям и контрольным спискам, рабочие продукты должны соответствовать стандартам.

Решение 2: Второе решение появилось совсем недавно, в 2023 году: платформы совместного тестирования. В системах такого типа поставщики загружают код в среду тестирования за полупрозрачной завесой. Производитель может видеть, что код был протестирован на соответствие всем соответствующим стандартам и известным угрозам, но не может видеть интеллектуальную собственность (IP), точные обнаруженные слабые места и т. д., поэтому доверие может быть построено в решении, не раскрывая ничего патентованного. или проклинающий. «Сегодня процесс обеспечения кибербезопасности транспортных средств очень сложен; множество контрольных списков на протяжении всего процесса, генерирующих тонны документов, подтверждающих, что они приложили правильные инженерные усилия для обеспечения безопасности автомобиля», — заявляет основатель и генеральный директор Block Harbour Брэндон Барри. «Все это должно произойти, пока бизнес-модель компании нарушена. [Такие системы] могут позволить им обмениваться актуальными данными между автопроизводителем и поставщиком с точки зрения данных, которые важны для стандартов и правил, чтобы можно было восстановить доверие к новому решению и обеспечить быстрое обновление».

Часть проблемы, — поясняет исполнительный директор Block Harbor Муртада Хамзави, — заключается в том, что при попытке преодолеть эти бизнес-проблемы требуется новый уровень доверия; больше, чем раньше. Наличие платформы, на которой все стороны могут видеть в режиме реального времени, что было проведено надлежащее тестирование, помогает быстро обеспечить доверительные отношения».

В более широкой экосистеме было много игроков – как государственных, так и частных – где разрабатывались, тестировались и ... [+] улучшения внедрялись и поддерживались для укрепления доверия к кибербезопасности.

Представьте себе необходимое одновременное доверие и недоверие: доверие к обмену информацией об известных атаках и недоверие к тому, что другие игроки случайно (или намеренно) не поделятся информацией о безопасности, не введут новые правила или злонамеренно не будут использовать общие данные для победы на рынке.