Eski “paylaşmak önemsemektir” sözü, Faye Francy’nin tüm sektörlerde devrim yarattığını gördüğü bir şeydir. Boeing Ticari Uçaklar Siber Güvenlik ONE ekip lideri olduğu yıllardan Aviation-ISAC’a ve sonunda Automotive-ISAC’ın İcra Direktörü olan Faye, çok özel ve silo haline getirilmiş endüstriler arasında iletişimi sağlama konusunda benzersiz bir bakış açısına sahip.
Faye’in Left To Our Own Own Devices podcast’indeki röportajı, 2001’de Boeing’e katıldıktan kısa bir süre sonra, Amerika Birleşik Devletleri’ne yapılan 11 Eylül saldırılarının tüm endüstride bir şok dalgası yaratmasına odaklanıyor. Ürünleri sadece terör için kullanılmadı, tüm endüstri, ürünlerinin güvenliğinin ve yeteneklerinin havadayken tehlikeye atıldığı bir ‘Siber 9/11’ olursa ne olacağı hakkında konuşmaya başladı.
Çok hızlı bir şekilde, dahili bir ekibin bağlı cihazlarını hesaba katmasına yardımcı olmakla görevlendirildi. İşte bu noktada, henüz bilmedikleri çok şey olduğunu fark etti. Yine de, bu bilgileri düzenlemek için zaman ayırmanın Boeing’in ürün güvenliğini anlamlı bir şekilde güçlendirme fırsatı sunduğunu da biliyordu. “11 Eylül sırasında olanlarla ilgili olarak, ağ ve ağ altyapımız, kabin ve ağ sistemlerimiz, bilgi-eğlence sistemlerimiz ve tüm bunlarla nerede olduğumuzu inceledik. Daha fazlasını yapmamız gerektiğini anladık ve böylece havacılıkta siber güvenlik yolculuğum başladı.”
Bu noktadan sonra Faye, kuruluşlar arasında siber güvenlik ve ürün güvenliği bilgilerinin paylaşılması için bir alan yaratmaya odaklanan Aviation-ISAC’ta aktifti. Bu, bırakın böyle yapılandırılmış ve açık bir formatta, böyle bir işbirliğine sahip olmanın neredeyse hiç duyulmadığı bir dönemde. Francy, “Boeing tarafından yapılan o gün, 11 Eylül’de isabet alan dört uçak varken, Airbus’ın hisselerinin Boeing şirketleri kadar düştüğünü söyleyebilirim” dedi. olmak isteseler de istemeseler de. “Ve böylece anlatabileceğim en iyi hikayelerden biri, Airbus ve Boeing’in nasıl işbirliği yapmaya başladığı.”
Havacılığın ötesinde işbirliği
Boeing’den emekli olduktan sonra, Aviation-ISAC’a benzer, ancak otomotiv için benzer bir organizasyon oluşturmak isteyen bazı kişiler Faye’e başvurdu.
Havacılık endüstrisinde benzer zorluklarla karşı karşıya kalan Otomotiv OEM’leri ve onların Katman-N tedarikçileri, giderek daha fazla yazılım odaklı hale geliyordu. Her otomobil üreticisi sürekli operasyonel çalışma süresi mevcudiyeti ve yolcu güvenliği taahhüdünde bulunsa da, güvenlik uygulamalarındaki boşluklar, tek bir kuruluşun yeteneklerinin ötesine geçen bir yaklaşım gerektiriyordu.
Bu otomotiv üreticilerinin yaşı, büyüklükleri ve hükmettikleri ekosistemler düşünüldüğünde, değişimin nadir olduğu görülecektir. Yine de endüstri, karşı karşıya oldukları değişen manzaraya duyarlı olduğunu ve uyum sağlamaya devam ettiğini kanıtladı. “Bu endüstri kesinlikle harika, değil mi? Burada bulunduğum altı yılda gördüklerim gerçekten ilham vericiydi,” dedi Faye. “Kişisel bir bakış açısıyla, devam etmekte olan dönüşümleri görmek gerçekten heyecan verici. Kesinlikle EV’lerle ama elbette, bağlantılılık ne kadar çok devreye girerse, siber güvenlik konusunda o kadar çok endişelenmemiz gerekiyor. Ve aslında, OEM’ler ve tedarik zinciri, siber güvenlik uygulamalarını şirketleri dışındaki satıcılarla nasıl entegre edeceklerini öğrenmek için birlikte çok çalışıyorlar.”
Yönetmelik ve risk
Faye Francy’yi motive eden şeylerin çoğu, otomotiv endüstrisindeki düzenlemelerin uygulanmasıdır. Düzenlemenin bir sınırı ve dengesi olduğunu söylerken, aynı zamanda zamanımızın en büyük zorluklarından birinin üstesinden gelmeye çalışırken özel sektör ile kamu sektörü arasında ortak bir işbirliğini gösteriyor.
“Tüketici açısından düzenlemenin önemli olduğunu düşünüyorum. O olacak. Faye, “Ne kadarına ihtiyaç var, bence ilerlerken incelenmeli” dedi. “Ve sürekli olarak inceleniyor, kesinlikle hükümet tarafından ve endüstri tarafından söyleyebilirim. Sektör ve hükümetle birlikte çalışmak, aşırı düzenleme yapmadığımızdan ve kesinlikle düzenlemeleri eksik yapmadığımızdan gerçekten emin olmak için yapabileceğimiz en önemli şeylerden biri.”
Hem fazla hem de eksik düzenlemenin şirketler ve araç operatörleri üzerinde benzer şekilde kötü etkileri olabileceğine dikkat çekti. Şirketler gereksinimleri mevcut uygulamalarına ve politikalarına dahil etmeye çalışırken, yeni düzenlemeleri karşılamaya yönelik ilk adımlar dikkatle atılır. Bu düzenlemelerin nereye gideceği ve birkaç kısa yıl içinde nasıl görüneceği herkesin tahmininde bulunuyor. Nihayetinde şirketlerin, yönetmelikler olsun ya da olmasın işlerini çalışır durumda tutmaya odaklanmaları gerekiyor.
Ürün güvenliğini sağlamak, kaçınılmaz olarak hesaplanmış iş riskleri almakla dengelenir. Francy’nin belirttiği gibi, “Açıkça kabul edilemez diyeceğim bazı riskler var. İnsan hayatı için risk mi? Bu kabul edilemez bir risk olur.” Ancak otomotiv endüstrisinde var olan birçok risk, operatörlere zarar vermeden özel kullanıcı veya kurumsal verileri elde etmeye odaklanmıştır. Mükemmel bir çözüm yok.
Francy devam etti, “Mükemmel bir çözüme sahip olmak isteriz, ancak ortaya çıkan bu tehditten mükemmel çözümlerin olmadığını biliyoruz.” Bu eşitsiz savaş adil değil, dolayısıyla riskleri inceleme, başarısızlık veya ihlal olasılıklarını hesaplama, etkisini anlama ve minimum kaynak kullanarak mümkün olan en kısa sürede hafifletmeye çalışma meselesi.
Sektörün ürün güvenliğini geliştirmek
Havacılık, otomotiv, sağlık veya başka herhangi bir sektörde gömülü sistemler benzer zorluklarla karşı karşıyadır. Ürün güvenliği uygulayıcıları, cihazlarımızda bulunan zorluklar ve güvenlik fırsatları hakkında oldukça fazla şey öğrenmeye hazırdır.
Karşılaştığımız zorlukların çoğu, bağlı cihazlarımızın dayandığı altyapıya kadar uzanabilir. Çoğu, hiçbir zaman bu düzeyde bir bağlantıyla başa çıkmak için tasarlanmamıştı ve kesinlikle siber güvenlik akıllarında yoktu. Bu nedenle, yeni teknolojileri mevcut altyapıya nasıl entegre ettiğimizi ve daha iyi, daha güvenli ürünler tasarladığımızı tartışarak işbirliğine odaklanmamız gerekiyor.
“İşbirliği yapın. Paylaşmak. Bunlar çok basit. Bunlar, arkalarında gerçekten çok fazla anlam barındıran tekil kelimelerdir. Bu sorunu çözmek için gerçekten birlikte çalışmamız gerekiyor. İşbirliği yapmalıyız, birbirimizden öğrenmeliyiz,” dedi Francy.
En iyi uygulamaları değerlendirmek, ileride neler olduğunu göz önünde bulundurmak ve cihazlarımızda (SBOM’lar) tam olarak ne olduğunu kataloglamak, otomotiv endüstrisinin geleceğe doğru büyümesinin temelini oluşturacaktır.