Otomotiv endüstrisi liderleri birbiriyle yarışan siber risk ve güvenlik öncelikleri ile mücadele ediyor ve bu nedenle birçoğu, kuruluşlarının gelecek yıl yürürlüğe girecek ve sürücüleri savunmasız bırakacak yeni Birleşmiş Milletler (BM) destekli araç güvenliği düzenlemelerine hazırlıksız olacağından giderek daha fazla endişe duyuyor. kabul edilemez güvenlik risklerine
Birleşmiş Milletler Avrupa Ekonomik Komisyonu Araç Düzenlemelerinin Uyumlaştırılmasına İlişkin Dünya Forumu (UNECE WP.29) çerçevesi, kirlilik ve enerji, gürültü ve lastikler, aydınlatma ve sinyalizasyon, genel ve pasif güvenlik hükümleri de dahil olmak üzere araçlara ilişkin çok çeşitli standartları kapsar. ve otomatik veya otonom ve bağlantılı araçlar.
Siber güvenlikle ilgili olarak, Temmuz 2024’te yürürlüğe girdiğinde, UNECE WP.29 tarafından belirlenen UN155/156 düzenlemeleri, tüm otomotiv orijinal ekipman üreticilerinin (OEM’ler) ve tedarik zincirlerinin çok katmanlı siber güvenlik hükümleri oluşturmasını zorunlu kılacaktır. Uyumlu olmayan araçların üretimini durdurmak zorunda kalma riskiyle karşı karşıya kalarak mevcut ve gelecekteki siber saldırılara karşı koruma sağlamak.
Kritik olarak, düzenlemeler, 2022’nin ortalarından itibaren üretim için halihazırda geliştirilmekte olan tüm araçların buna uyması gerektiğini gerektiriyor.
OEM’ler ayrıca tüm tedarikçilerinin düzenlemelere uygun olmasını sağlamak zorunda kalacak; bu da bir aracın yazılım içeren her bileşen parçasının tasarım gereği güvenlik ilkelerine uyduğuna dair kanıt sunması gerektiği anlamına geliyor ve bunu yapmamak, OEM’in kodu kabul etmesi veya araçlarına entegre etmesi imkansızdır.
Ancak Kaspersky’nin baş güvenlik araştırmacısı David Emm, son teslim tarihine yalnızca 10 ay kala otomotiv üst düzey yöneticilerinin kendilerini eğrinin oldukça gerisinde bulduğunu ve Kaspersky sponsorluğundaki bir araştırmaya katılanların %42’sinin herhangi bir planlarının olmadığını söylediğini ortaya çıkardı. ve %63,5’i UNECE WP.29 uyumluluğuna yönelik planlamaya “pek dahil olmadıklarını” belirtirken, %64’ü siber tehditlerin “stratejik bir kurul meselesi” olduğunu kabul ediyor.
Daha da fazla katılımcı (%68,5) sektörün standartların etkileri ve bunların otomobil şirketleri için ne anlama geleceği konusunda daha fazla anlayışa ihtiyaç duyduğunu kabul etti.
Emm ayrıca, otomobil üreticileri ve tedarikçileri içindeki sorumluluk sınırları, roller ve sahiplik konusundaki netlik eksikliğinin de uyumluluğa yönelik ilerlemeyi engellediğine dikkat çekti.
Emm, “Herhangi bir tedarik zincirinin güvenliği, en zayıf kısmıyla tanımlanır ve otomotiv endüstrisi de bir istisna değildir” dedi. “Bağlantılı çağda güvenli araçlar sunmak, tedarik zinciri boyunca daha sıkı entegre çalışma ilişkileri gerektirecek, ancak araştırmamız bu işletmelerin karşılaştığı zorlukları vurguluyor.
“Birincisi, giderek çeşitlenen tehdit ortamına karşı savunma yapmak için uygun önlemlerin yorumlanması ve uygulanması, ikincisi ise bu eylemlerin sektör düzenlemeleriyle uyumlu hale gelmek için gerekli adımlarla dengelenmesi.
“Önümüzdeki birkaç ay, çözümleri UNECE WP.29 kapsamında olan tedarikçiler için kritik öneme sahip olacak; doğru süreçlerle şimdi harekete geçin ve OEM’lerin doğru düzeyde eksiksiz çözümlere sahip olmasını sağlamak için yeni uzun vadeli ilişkiler kurma potansiyeli mevcut. Güvenlik uyumluluğu” dedi. “Ya da bunu başaramazsanız ve her gün karşılaştıkları yakın siber tehditlere karşı harekete geçmek zorunda kalan bir endüstri tarafından geride kalma riskiyle karşı karşıya kalırsınız.”
Daha fazla tehdit
UNECE WP.29’un yaklaşan etkisine ek olarak, Kaspersky’nin 1.000’den fazla çalışanı olan otomotiv kuruluşlarındaki 200 üst düzey karar vericinin katılımıyla yaptığı anket, sektör liderlerinin genel olarak siber güvenlik ortamıyla, özellikle de otomotiv sektöründeki zorluklarla mücadele ettiğini ortaya çıkardı. tehdit aktörlerinin bağlantılı araçların üretimindeki yazılım açıklarından yararlanma potansiyeli ve yazılımın bunlara entegrasyonu ile ilgilidir.
Liderlerin toplam %64’ü tedarik zincirlerinin savunmasız olduğuna inanıyordu; ankete katılanların %34’ü tarafından belirtilen en büyük endişe alanı, başkaları tarafından sağlanan bilgi-eğlence sistemleri ve bağlantı teknolojisinin sağlanmasıydı.
Kaspersky ayrıca, araç hırsızlığına yol açan anahtarsız giriş, kullanıcıların gizlice dinlenmesi ve gözetlenmesi, otonom araçların uzaktan kullanılması, hizmet reddi saldırıları ve hatta araçların fidye yazılımı gibi tehditler için giriş noktası olarak kullanılması gibi tehditlerden de endişe duyduklarını tespit etti. – Conti, LockBit ve Hive gibi çetelerin sektöre saldırı düzenlediği biliniyor.
Kaspersky otomotiv araştırma lideri Clara Wood, “Siber güvenlik tehditleriyle mücadele ederken işletmeleri korumak tamamen yeni bir karmaşık kodlama düzeyine, bilinmeyen tehditlere ve devam eden siber saldırılara dönüştü” dedi. “Araştırmamız bize suçluların odaklarını otomotiv tedarik zincirine çevirdiğini ve bulabilecekleri her türlü zayıflıktan yararlanmaya çalıştıklarını gösteriyor. Bu nedenle, giderek birbirine bağlanan bir otomotiv endüstrisi, siber güvenlik için en iyi uygulama kültürünü geliştirmek, bilgiyi paylaşmak ve net ve ölçülebilir bir yatırım getirisi ile eyleme dönüştürülebilir zeka oluşturmak istiyorsa, siber okuryazarlık artık kritik bir bileşen haline geliyor.”
Çalışma ayrıca, otomotiv üst düzey yöneticilerinin de mevcut siber istihbarat yatırımlarından yeterli getiriyi elde etme veya algılama konusunda zorluk yaşadıklarını ve diğer birçok sektörde olduğu gibi, güvenliği çevreleyen jargon ve dilin risk anlayışlarına engel teşkil ettiğini ortaya çıkardı. Kaspersky’nin daha önce gündeme getirdiği bir sorun.
Emm, “Otomotiv liderleri, hem kuruluşlarının hem de birbirine bağlı tedarikçiler, üreticiler ve hizmet sağlayıcılar ağının güvenliğini tehdit eden, birbiriyle yarışan öncelikler, belirsiz süreçler ve yalıtılmış tehdit istihbaratı dalgasının altında eziliyor” dedi.
“Sektör bir dönüm noktasını geçti ve artık tüketici mahremiyetinin ve güvenliğinin tehlikeye atılabileceği yönünde açık bir tehlike var” diye devam etti. “Araçlarda teknolojinin kullanımı, bunların geliştirilmesi için gereken tedarik zincirleri ve WP.29’a uyum ihtiyacı, üst düzey yöneticilerin şirketlerinin karşı karşıya olduğu siber riski anlamasını ve stratejilerini bilgilendirmek için acil adımlar atmasını kritik hale getirdi. ”