L’industria automobilistica alle prese con la creazione di un cyber trust

Dec 18, 2023

Per un ecosistema di successo, ci deve essere una comprensione difficile da vedere ma tuttavia continua da parte di governi, produttori, fornitori e subfornitori che vengono installati e mantenuti progetti, test e miglioramenti appropriati per creare fiducia in la sicurezza informatica.

Il ritornello dell'inno di John W. Peterson del 1970 è “Mi fiderò di te quando non potrò vedere, quando dovrò affrontare le avversità, e crederò che la tua volontà sia sempre la migliore per me. Mi fiderò quando non potrò vedere”. Buono per una chiesa, forse, ma quelli non sono stati i testi della kumbaya automobilistica negli ultimi dieci anni da quando Wired Magazine ha presentato Charlie Miller e Chris Valasek che hackeravano a distanza una Chrysler. Questa pietra miliare tecnologica ha messo in guardia il settore dall’imminente diluvio di hack e ha evidenziato l’urgente necessità di affrontare la fiducia nella fedeltà del sistema complessivo.

Questa fiducia, tuttavia, è complessa e a più livelli: la fiducia degli sviluppatori, la fiducia dell’ecosistema e la fiducia degli acquirenti.

Affidarsi a un fornitore che ha prodotto un progetto, un codice e dei test per proteggere il sistema richiede che un sistema ... [+] si avvicini a molti controlli e follow-up.

Gli strati di fiducia, dal produttore verso il basso, sono profondi quasi quanto quelli del thriller del 2010 “Inception”. L'amministratore delegato deve avere fiducia nel Chief Information Security Officer (CISO), che deve avere fiducia nel management intermedio per supervisionare i requisiti integrati nei programmi del veicolo (così come nell'IT interno) che soddisferanno o supereranno le normative di tutto il mondo. Da lì, l'ingegnere capo deve avere fiducia che sia gli sviluppatori del produttore che quelli dei fornitori abbiano recepito i requisiti tecnici di sicurezza e formulato un processo e un prodotto che assicuri il rilevamento e la protezione desiderati. Successivamente, lo sviluppatore confida che l'ingegnere del test abbia sviluppato piani di test e script per individuare eventuali vulnerabilità. E tutto ciò si ripete nei prossimi vent’anni man mano che si verificano nuovi attacchi informatici. Su ogni veicolo. In ogni sistema. Attraverso ogni componente.

Soluzione 1: La prima, antica soluzione, è la valutazione del processo. Se gli ingegneri seguono linee guida e liste di controllo, i prodotti di lavoro dovrebbero aderire agli standard.

Soluzione 2: La seconda soluzione è arrivata proprio di recente all’inizio del 2023: piattaforme di co-test. In questi tipi di sistemi, i fornitori caricano il codice in un ambiente di test dietro una tenda semitrasparente. Il produttore può vedere che il codice è stato testato rispetto a tutti gli standard appropriati e alle minacce note, ma non ha visibilità sulla proprietà intellettuale (IP), sugli esatti punti deboli rilevati, ecc., quindi è possibile creare fiducia nella soluzione senza rivelare nulla di proprietario o dannoso. “Oggi il processo di sicurezza informatica per i veicoli è molto arduo; numerose liste di controllo durante tutto il processo che generano tonnellate di documenti per dimostrare che sono stati eseguiti i giusti sforzi ingegneristici per proteggere il veicolo", afferma il fondatore e amministratore delegato di Block Harbor, Brandon Barry. “Tutto ciò deve accadere mentre il modello di business dell’azienda viene stravolto. [Tali sistemi] possono consentire loro di condividere dati in tempo reale tra casa automobilistica e fornitore in termini di dati importanti per gli standard e le normative, in modo da poter ricostruire la fiducia nella nuova soluzione e consentire aggiornamenti rapidi”.

Parte della sfida”, spiega il COO di Block Harbour, Murtada Hamzawy, “è che mentre si tenta di superare queste sfide aziendali è necessario un nuovo livello di fiducia; più di prima. Avere una piattaforma in cui tutte le parti possono vedere in tempo reale che sono stati effettuati test adeguati aiuta a garantire rapidamente quel rapporto di fiducia.

L'ecosistema più ampio aveva molti attori, sia pubblici che privati, in cui vengono installati e mantenuti progetti, test e... [+] miglioramenti per creare fiducia nella sicurezza informatica.

Immaginate la fiducia e la sfiducia simultanee necessarie: fiducia nella condivisione di informazioni sugli attacchi noti e sfiducia nel fatto che altri giocatori non condividano accidentalmente (o intenzionalmente) informazioni sulla sicurezza, impongano nuove normative o utilizzino in modo dannoso i dati condivisi per vincere sul mercato.