Indústria automobilística lutando para criar um truste cibernético

Dec 18, 2023

Para um ecossistema bem-sucedido, deve haver um entendimento difícil de ver, mas contínuo, por parte de... [+] governos, fabricantes, fornecedores e subfornecedores de que projetos, testes e melhorias apropriados estão sendo instalados e mantidos para construir confiança em a cibersegurança.

O refrão do hino de John W. Peterson de 1970 é “Confiarei em você quando não puder ver, quando me deparar com a adversidade, e acreditarei que sua vontade é sempre o melhor para mim. Confiarei quando não puder ver.” Bom para uma igreja, talvez, mas essas não têm sido as letras do kumbaya automotivo durante quase a última década, desde que a Wired Magazine apresentou Charlie Miller e Chris Valasek invadindo remotamente um Chrysler. Este marco tecnológico alertou a indústria sobre o dilúvio de hacks e destacou a necessidade urgente de abordar a confiança na fidelidade do sistema geral.

Essa confiança, porém, é multifacetada e complexa: a confiança do desenvolvedor, a confiança do ecossistema e a confiança dos compradores.

Confiar que um fornecedor produziu um design, código e testes para proteger o sistema requer um sistema para... [+] abordar muitas verificações e acompanhamentos.

As camadas de confiança do fabricante para baixo são quase tão profundas quanto as do thriller de 2010, “Inception”. O CEO deve confiar no Diretor de Segurança da Informação (CISO), que deve confiar na gestão intermediária para supervisionar os requisitos que estão sendo incorporados aos programas do veículo (bem como a TI interna) para atender ou exceder as regulamentações de todo o mundo. A partir daí, o Engenheiro Chefe deve confiar que tanto os desenvolvedores do fabricante quanto os dos fornecedores assimilaram os Requisitos Técnicos de Segurança e formularam um processo e produto que garanta a detecção e proteção desejadas. Depois disso, o desenvolvedor confia que o engenheiro de teste desenvolveu planos e scripts de teste para descobrir quaisquer vulnerabilidades. E então tudo isso se repetirá nos próximos vinte anos, à medida que surgirem novos ataques cibernéticos. Em todos os veículos. Em todos os sistemas. Em todos os componentes.

Solução 1: A primeira e antiga solução são as avaliações do processo. Se os engenheiros seguirem as diretrizes e listas de verificação, os produtos de trabalho deverão aderir aos padrões.

Solução 2: A segunda solução chegou recentemente, no início de 2023: plataformas de co-teste. Nesses tipos de sistemas, os fornecedores carregam o código em um ambiente de teste atrás de uma cortina semitransparente. O fabricante pode ver que o código foi testado em relação a todos os padrões apropriados e ameaças conhecidas, mas não tem visibilidade da Propriedade Intelectual (PI), dos pontos fracos exatos encontrados, etc. ou condenatório. “Hoje, o processo de cibersegurança dos veículos é muito árduo; muitas listas de verificação ao longo do processo, gerando toneladas de documentos para provar que eles fizeram os esforços de engenharia corretos para proteger o veículo”, afirma o fundador e CEO da Block Harbor, Brandon Barry. “Tudo isso deve acontecer enquanto o modelo de negócios da empresa estiver em ruptura. [Tais sistemas] podem permitir-lhes partilhar dados em tempo real entre o fabricante de automóveis e o fornecedor em termos dos dados que são importantes para as normas e regulamentos, para que a confiança possa ser reconstruída na nova solução e permitir atualizações rápidas.”

Parte do desafio”, explica o COO da Block Harbor, Murtada Hamzawy, “é que, ao tentar superar esses desafios de negócios, é necessário um novo nível de confiança; mais do que anteriormente. Ter uma plataforma onde todas as partes podem ver em tempo real que os testes adequados foram realizados ajuda a garantir rapidamente esse relacionamento de confiança.”

O grande ecossistema tinha muitos intervenientes – tanto públicos como privados – onde projetos, testes e... [+] melhorias estão a ser instalados e mantidos para construir confiança na segurança cibernética.

Imagine a confiança e a desconfiança simultâneas que são necessárias: confiança para partilhar informações sobre ataques conhecidos e desconfiança de que outros intervenientes não partilharão acidentalmente (ou intencionalmente) informações de segurança, imporão novas regulamentações ou utilizarão dados partilhados de forma maliciosa para vencer no mercado.