La industria automotriz lucha por crear un fideicomiso cibernético

Dec 18, 2023

Para un ecosistema exitoso, debe haber una comprensión difícil de ver pero continua por parte de ... [+] gobiernos, fabricantes, proveedores y subproveedores de que se están instalando y manteniendo diseños, pruebas y mejoras apropiados para generar confianza en la ciberseguridad.

El coro del himno de John W. Peterson de 1970 es “Confiaré en ti cuando no pueda ver, cuando me enfrente a la adversidad, y creeré que tu voluntad siempre es la mejor para mí. Confiaré cuando no pueda ver”. Bueno para una iglesia, tal vez, pero esas no han sido las letras de la kumbaya automotriz durante casi la última década desde que la revista Wired presentó a Charlie Miller y Chris Valasek pirateando remotamente un Chrysler. Este hito tecnológico alertó a la industria sobre la inminente avalancha de ataques y destacó la necesidad urgente de abordar la confianza en la fidelidad del sistema en general.

Sin embargo, esa confianza tiene múltiples capas y es compleja: la confianza del desarrollador, la confianza del ecosistema y la confianza de los compradores.

Confiar en que un proveedor ha elaborado un diseño, un código y pruebas para asegurar el sistema requiere un sistema que... [+] aborde muchas comprobaciones y seguimientos.

Las capas de confianza desde el fabricante hacia abajo son casi tan profundas como las del thriller de 2010 “Inception”. El CEO debe confiar en el Director de Seguridad de la Información (CISO), quien debe confiar en los mandos medios para supervisar que los requisitos que se incorporan a los programas del vehículo (así como la TI interna) cumplan o superen las regulaciones de todo el mundo. A partir de ahí, el ingeniero jefe debe confiar en que tanto los desarrolladores del fabricante como los proveedores hayan asimilado los requisitos técnicos de seguridad y hayan formulado un proceso y producto que asegure la detección y protección deseadas. A partir de entonces, el desarrollador confía en que el ingeniero de pruebas haya desarrollado planes de prueba y scripts para descubrir cualquier vulnerabilidad. Y luego todo esto se repite durante los próximos veinte años a medida que surgen nuevos ciberataques. En todos los vehículos. En todos los sistemas. En todos los componentes.

Solución 1: La primera solución, antigua, es la evaluación del proceso. Si los ingenieros siguen pautas y listas de verificación, los productos de trabajo deben cumplir con los estándares.

Solución 2: La segunda solución llegó recientemente a principios de 2023: plataformas de prueba conjunta. En este tipo de sistemas, los proveedores cargan el código en un entorno de prueba detrás de una cortina semitransparente. El fabricante puede ver que el código se probó con todos los estándares apropiados y amenazas conocidas, pero no tiene visibilidad de la propiedad intelectual (IP), las debilidades exactas encontradas, etc., por lo que se puede generar confianza en la solución sin revelar nada de propiedad. o condenatorio. “Hoy en día el proceso de ciberseguridad de los vehículos es muy arduo; muchas listas de verificación a lo largo del proceso, generando toneladas de documentos para demostrar que hicieron los esfuerzos de ingeniería correctos para asegurar el vehículo”, afirma el fundador y director ejecutivo de Block Harbor, Brandon Barry. “Todo esto debe suceder mientras se altera el modelo de negocio de la empresa. [Dichos sistemas] pueden permitirles compartir datos en vivo entre el fabricante de automóviles y el proveedor en términos de los datos importantes para los estándares y regulaciones, de modo que se pueda reconstruir la confianza en la nueva solución y permitir actualizaciones rápidas”.

Parte del desafío”, explica Murtada Hamzawy, director de operaciones de Block Harbor, “es que, al intentar superar esos desafíos comerciales, se requiere un nuevo nivel de confianza; más que antes. Tener una plataforma donde todas las partes puedan ver en tiempo real que se han realizado las pruebas adecuadas ayuda a garantizar rápidamente esa relación de confianza”.

El ecosistema más amplio tenía muchos actores, tanto públicos como privados, donde se están instalando y manteniendo diseños, pruebas y... [+] mejoras para generar confianza en la ciberseguridad.

Imagine la confianza y desconfianza simultáneas que se requieren: confianza para compartir información sobre ataques conocidos y desconfianza en que otros actores no compartirán accidental (o intencionalmente) información de seguridad, impondrán nuevas regulaciones o utilizarán maliciosamente datos compartidos para ganar en el mercado.

Tal es el ecosistema de sistemas de vehículo a infraestructura y de vehículo a vehículo. Competidores que hablan con competidores y agencias gubernamentales para conocer nuevos piratas informáticos, posibles amenazas y mitigaciones.

Mientras tanto, organizaciones gubernamentales como la CEPE imponen nuevas regulaciones que exigen que los fabricantes de automóviles demuestren que tienen sistemas sólidos de gestión de ciberseguridad y capacidad de actualización de software o pueden perder su derecho a vender vehículos en su país o región (por ejemplo, Europa). Hay miles de millones de dólares en juego, y cualquier información compartida sobre vulnerabilidades puede erosionar esa confianza.

Solución 1: El Centro de análisis e intercambio de información automotriz (Auto-ISAC) se formó en agosto de 2015 para crear un paraíso para compartir información. Según una fuente anónima, "el comienzo fue muy lento ya que las empresas no estaban seguras de con quién podían compartir qué, pero ahora la información fluye mejor".

Solución 2: Al mismo tiempo, evaluadores externos brindan certificación de los procesos de gestión de ciberseguridad de cualquier empresa. El muestreo es inherentemente imperfecto, pero proporciona mínimamente una ventana semitransparente al rigor de una empresa.

Generar la confianza de los consumidores finales debería ser lo más difícil, pero hasta ahora no ha interferido con ... [+] compras o marcas.

Un titular convincente y utilizado repetitivamente en las salas de juntas automotrices desde 2016 ha sido "8 de cada 10 consumidores desconfiarían o nunca comprarían a un fabricante de automóviles si esa marca sufriera un hackeo de automóviles". De hecho, el estudio de KPMG encontró que la cifra exacta era del 82%.

Excepto que no lo es.

Literalmente, todas las marcas importantes han sido pirateadas de alguna manera (como se documenta en el artículo de Forbes de 2020 “Los 25 principales trucos de ciberseguridad: demasiadas casas de cristal para tirar piedras”). Y la única caída sostenida en los precios de las acciones o en los ingresos fue la de Volkswagen en 2015, que, con toda probabilidad, fue atribuible al Deiselgate.

Entonces, la pregunta que sigue: “¿Cómo recuperarías la confianza del público” es: “¿Realmente le importa al comprador?”

Solución: Esta es la única área de confianza que no tiene una solución de mejora, pero posiblemente no tiene una solución necesaria. [R]ganar la confianza del comprador a través de la publicidad sería el equivalente a colocar una pegatina en forma de diana en el parabrisas para los hackers de todo el mundo que buscan fama. Entonces, tal vez la solución sea "esperar hasta que los compradores [con suerte] lo olviden".

Suponiendo que la empresa sobreviva a eso.

Por alguna razón que sólo puedo atribuir a la transferencia total del control, el público sigue asociando la necesidad de una ciberseguridad a prueba de balas con los vehículos autónomos. Por ejemplo, hace apenas unas semanas The Hill informó que "... algunos expertos dicen que el cambio hacia la autonomía puede plantear mayores riesgos de ciberseguridad si los piratas informáticos potenciales atacan las vulnerabilidades del software".

Pero ese hack de 2015 ya demostró efectivamente que humanos impotentes pueden ocupar irremediablemente el asiento del conductor mientras los hackers acceden a la dirección, el acelerador, los frenos, etc. del automóvil. De hecho, como parte de un episodio de 2016 de “Last Week Tonight” sobre cifrado y ciberconfianza. , HBO mostró un video del hackeo y John Oliver exclamó: “¡Sí, no, mierda, el conductor estaba entrando en pánico! Le apagaste el motor en la autopista.

Ese no era un coche autónomo. Tampoco estuvo ninguno de los vehículos en el récord de 268 ciberataques automotrices reportados públicamente en 2022, que han aumentado de manera constante desde 2018 (79).

Entonces, enigma: ¿Por qué confiamos tanto en este momento?