Paul Cha, LG Electronics Araç bileşen Çözümlerinde Siber Güvenlikten Sorumlu Başkan Yardımcısı olarak hizmet veren bir siber ve ürün güvenliği lideridir. Paul, LG’ye katılmadan önce Synopsis, Ford Motor Company ve Samsung’da kritik pozisyonlarda bulundu. Doktorası üzerinde çalışırken siber güvenliğe giden yolu buldu. risk yönetiminde.
Paul, siber güvenlik alanındaki kariyerine, akıllı TV’ler ve akıllı telefonlar gibi akıllı cihazlara odaklandığı kıdemli bir güvenlik çözümü geliştirme mühendisi olarak başladı. Bağlantılı ürünler için koruma mekanizmaları sağlamak üzere güvenlik çözümleri geliştirdiği çeşitli yazılım ve bulut hizmetlerinin güvenlik değerlendirmelerini gerçekleştirdi.
Otomotiv endüstrisindeki en büyük Tier-1 üreticilerinden biri olan LG’de ürün güvenliği yazılım çözümlerinden sorumludur. Son birkaç yılını dünya çapındaki OEM’ler (orijinal ekipman üreticileri) ve otomobil üreticileriyle işbirliği yaparak geçirdi.
Paul, Left to Our Own Own Devices podcast’inin otomotiv endüstrisinde dünya lideri birinci sınıf sertifikalı OEM olma konusunda fikrini seçmesine izin verdi. Bağla.
Ürün güvenliği endüstrisinin karşılaştığı başlıca zorluklar
Dünya daha birbirine bağlı hale geldikçe ürün güvenliği endüstrisi daha zor hale geliyor. Paul’e göre, ürün güvenliğinin karşı karşıya olduğu 3 ana zorluk vardır. İlk zorluk, artan sayıda düzenleme altında her yazılım ve donanım bileşeninde en iyi uygulama standartlarını takip etmektir. Siber güvenlik araştırmacılarının olgunluk düzeyi ve her şirketin faaliyetleri birbirinden farklı olduğu için bu standartları takip etmek zordur.
“Ürün güvenliğinde tedarikçi ve tedarik zinciri yönetimi, yerine getirilmesi zor olan konulardan biri çünkü çoğu şirketin en iyi siber güvenlik faaliyetlerini yürütmek için işgücü ve bütçe kaynakları yok.” Paul dedi.
Paul’ün işaret ettiği bir başka zorluk da üreticilerin farklı güvenlik gereksinimleridir. Örneğin, bazı üreticiler Automotive Spice’ı (Yazılım Süreç İyileştirme ve Yetenek Belirleme) sıkı bir şekilde uygularken, diğerleri takip etmemektedir. “LG, güvenlik açıklarını CBS 7.0 veya sonraki sürümleriyle düzeltmeye karar vermiş olsa da, bazı üreticiler CBS (Sınır Ötesi Güvenlik) yeteneklerinden bağımsız olarak tüm hataları çözmeyi seçiyor.”
Son olarak Paul, üretici güvenlik gereksinimlerini karşılayan özelleştirilmiş sistem ve platformların eksikliğine dikkat çekiyor. Örneğin, üreticiler anında yanıt veren kodların arşivlenebilmesi için risk bulguları, hafifletmeler veya SBOM’lar sağlamaz. Yine de, bu sorunu çözmek için uygulanabilir bir sistem yoktur.
Zor durumdaki birinci sınıf üreticiler tüm yaşam döngüleri boyunca nasıl daha iyi güvenlik sağlayabilir?
Çoğu üreticinin karmaşık tedarik zinciri gereksinimleri olduğundan ve yazılım ve bulut çözümlerine yöneldiğinden, karmaşık güvenlik sorunlarının üstesinden gelmek zorlaşıyor. LG kısa bir süre önce CSMS de dahil olmak üzere dünyanın en iyi ürün güvenlik sertifikalarının tümüne layık görüldü. Paul Cha’nın açıkça biraz övgü alabileceği bir başarı. Üreticilerin ürünlerine nasıl daha iyi güvenlik sağlayabilecekleri sorulduğunda, Paul iki yanıt verdi.
Üreticilerin, tehdit analizi ve risk değerlendirme faaliyetleri aracılığıyla ürün geliştirme sırasında güvenlik gereksinimlerinin beyan edilmesi gerektiğini anlamaları gerekir. Hiyerarşik bir zincir gibi, Tier-1 tedarikçileri güvenlik ihtiyaçlarını R156 gibi Tier-1 tehdit analizine ve risk değerlendirmesine göre uyumlu hale getirmelidir. Bu faaliyetler son derece güvenilir olmakla birlikte, uygulama imalatçılar için hala yetersiz bir şekilde tanımlanmıştır.
Birçok donanım ve yazılım bileşeni bir şirketten diğerine tedarik edildiğinden, güvenlik sorunları şirketler arasında bağlantılıdır. Ancak gerçekte şirketler yalnızca kendi güvenlik konularına odaklanır. 1. Kademe üreticiler, ürünlerinin nereye yerleştirileceğine bakılmaksızın güvenlik politikalarına ve gereksinimlerine sıkı sıkıya uyulmasını istiyor. Bu tür bir süreçle, gerçek dünyadaki durumlarda olgun siber güvenlik seviyelerine ulaşmak zordur.
Yaklaşan otomotiv siber güvenlik düzenlemelerine hazırlanma
LG, hem işlevsel güvenlik hem de siber güvenlik sertifikaları alarak geleceğin araç araç yazılım geliştirmesine öncülük etmeye devam ediyor. Aslında LG, işlevsel güvenlik ve siber güvenlik için küresel standartları karşılayan dünyanın ilk otomobil parçası tedarikçisidir. Röportaj sırasında Kendi Cihazlarımıza Bırakıldılar, ev sahipleri Paul’den ürün güvenlik ekipleri için pratik ipuçlarını ve püf noktalarını paylaşmasını istediler.
“Yazılım sürecinin olgunluğunu, organizasyonun yapısını ve kültürünü dikkatle gözlemlerim. Tüm şirketler farklı geliştirme süreci olgunluğuna ve farklı organizasyon yapılarına sahiptir. Güçlü ürün güvenlik önlemlerinin yerleştirilmesi söz konusu olduğunda kuruluşun kültürü çok önemlidir.” dedi Paul Cha.
Paul’ün paylaştığı ikinci ipucu, güvenlik faaliyetlerine sürekli olarak öncelik vermenin önemidir. Paul, bütçe ve kaynaklar gibi şirket sınırlamalarını göz önünde bulundururken öncelikle önemli konulara bağlı kalmayı öneriyor. Paul, ürün güvenliği ve tehdit modellemenin asla tek seferlik bir etkinlik olmayacağını vurguluyor. Güvenlik liderlerini, ürün faaliyetlerinin güvenlik faaliyetlerini geliştirmek için sürekli çaba gerektirdiğini anlamaya çağırıyor. Alt katman üreticilerinden donanım ve yazılım bileşenlerinde dinamik değişiklikler kaçınılmazdır. Bu nedenle, ürün güvenlik ekipleri, ürünün güvenlik kalitesini artırmak için sürekli olarak TARA faaliyetleri yürütmelidir.
Ürün güvenliğinde bu güven düzeyine ulaşmanın bir yolu, daha iyi yazılım testi uygulamaktır. Etkili ve verimli ürün güvenliği geliştirme için sağlam araçlar çok önemlidir. Bu araçlar, bağlı ürünlerde yeni bulunan güvenlik açıklarını değerlendirerek, yöneterek ve düzelterek tüm yazılım ve donanımı gerçek zamanlı olarak tarayabilir.
Paul’e göre kariyerinin en heyecan verici kısmı sertifikaları almak. Yine de, küresel bir Kademe 1 OEM olmanın getirdiği sıkı çalışmayı ve sorumluluğu kabul ediyor. “Kademe 1’ler, tüm yazılım ve donanım malzemelerinin toplu halde güvenlik açığı içermemesi gerektiğini gerçekten garanti etmek için ne gerekiyorsa yapma sorumluluğuna sahiptir… Ürüne giren her yazılım ve donanım parçasında.”