Otomotiv camiasının yazılım güdümlü mevcut işlevleri incelediği, dürtüklediği ve sonunda zekasıyla alt ettiği tüylü durum, dehşet vericiden başka bir şey değildir.
Otomotiv siber güvenliği, bu modern dizüstü bilgisayar dişli başlıklarını asla geride bırakmayacak gibi görünse de, Volkswagen AG’de Araç Güvenlik Operasyonları Başkanı John Heldreth’in farklı bir fikri vardı. Otomotiv endüstrisi, silolar halinde çözüm bulmaya çalışmak yerine, araçlarını hedef alan siber tehditlerdeki artışa karşı işbirliği yapmak, ağ kurmak ve harekete geçmek için bir yere sahip olmalıdır. Bu, ASRG’ye ve yaklaşan bir konferans olan Sokaklarımızı Güvenli Hale Getirdi.
Porsche ve Bosch gibi markalardaki önceki deneyimlerine dayanarak, Left to Our Own Own Devices podcast ile bu sorunun ilk günleri hakkında paylaşımda bulundu. Siber güvenlik emsali olmayan yazılım tanımlı araçlar için ağlar geliştirirken gerçekten isabetli oldu.
John, ekibiyle birlikte bu zorlukla göz göze gelmek zorunda kaldığı o geliştirme anını bize gösterdi. “Ağları nasıl bölmeliyiz? Kimin, hangi işlevi, hangi elektronik kontrol ünitesinin (ECU) yaptığını nasıl anlayabiliriz? Bu sayede, tasarımın yönlerinden biri olarak güvenliği de düşünmeye başlamamız gerektiğini fark etmeye başladık. Sadece nasıl çalışması gerektiği değil, aynı zamanda birisinin ona nasıl saldırabileceği veya yapmaması gereken bir şeyi yapmak için nasıl manipüle edebileceği.”
Eşsiz bir yaklaşım benimseyen John, siber güvenliğe başka bir bakış açısı sunuyor. Güvenlik açıklarının ayrıntılarına dalmaya yönelik teknik yaklaşımın aksine, bunu genel güvenliğin bir alt kümesi olarak görüyor. Tıpkı herhangi bir cihazın güvenliğini sağlamada olduğu gibi, uygulayıcılar aynı soruları sormalıdır:
- Aktarılan verilerin bütünlüğü nedir?
- Sürekli olarak mevcut mu?
- Alıcı, gönderildiği aynı bütünlükte veri alıyor mu?
- Veri paketleri güvenilir bir şekilde ve siber güvenlik ekiplerinin harekete geçebileceği veya tepki verebileceği bir zaman diliminde teslim ediliyor mu?
Bu konuyu ele almak için yıllar geçti. Yazılım sorunları nedeniyle geri çağırma tehdidi, araç üreticilerinin veya OEM’lerin siber güvenlik sorunlarını uzaktan çözebilmesini gerektirir.
Bir kez geliştirildiğinde, bu teknolojinin, sürücüleri zarar vermeden güvende tutmak için gelecekteki tasarımlara entegre edilmesi gerekir. Üstelik bu, ileriye dönük ve araçları henüz bilinmeyen tehditlerden koruyabilecek şekilde yapılmalıdır.
Ancak araçlara sızan güvenlik açıklarının çoğu, araç üreticisine teslim edilmeden çok önce yazılım tedarik zincirinde başladı. Heldreth, “Tedarik zincirine giren OEM’lerden ve ardından onları tedarik eden ikinci ve üçüncü kademe şirketlerden gelen bu farkındalığı yavaş yavaş görüyoruz” dedi. “Hepsi siber güvenliğin harika olduğuna karar verdi. Bunu yapmalıyız. Bu, üzerinde çalışmaya başladığımız bir şey. Bunun için gidelim.”
Geçmiş yıllarda araç güvenlik açıklarına ilişkin artan farkındalık, bugün daha olgun bir sektöre yol açmıştır. Bu, elektronik özelliklerin geçmiş yıllardan fabrikalardan çıkan siber güvenliğe hazır arabalara doğru evriminde görülebilir. Aynı zamanda daha önce anlaşılmaz olan bir işbirliği çağını da getiriyor. Bu, yalnızca OEM’lerin bir araya gelerek otomotiv siber güvenlik verilerinin siloya alınmasının kimseye fayda sağlamadığını topluca kabul etmeleri nedeniyle mümkün oldu.
“Eskiden Mercedes-Benz, Volkswagen veya BMW birbirleriyle iletişim kurmuyordu. Ortak bir zemini paylaşmadılar. Ancak otomotiv ürünlerinde siber güvenlik konusunda hepimiz aynı sorunu yaşıyoruz. Hepimizin amacı aynı” dedi John. “Ürünlerimizi, araçlarımızı müşteriler için daha güvenli ve emniyetli hale getirmek istiyoruz.” Bugün kuruluşlar, geçmişte olmayan bir işbirliği kültürü geliştirmek için tedarikçileriyle birlikte çalışıyor – tedarikçiler OEM’lerle çalışıyor ve OEM’ler birbirleriyle çalışıyor.
Nihayetinde, her şey o ortak zemini bulmakla ilgilidir ve bu da riski anlayarak bulunur. John, “Elbette yapmaya çalıştığımız şey, müşterilerimize yönelik her türlü riski azaltmaktır” dedi. “İnsanların verilerinin saldırıya uğramasını istemiyoruz. Aracın fonksiyonlarının güvende olmasını istiyoruz. Herhangi bir dış saldırganın etkisinin veya başka bir şeyin mümkün olmasını istemiyoruz. Bunu yapmak için, her şeyi niceliksel veya niteliksel risk değerlendirmesine sokmamız gerekiyor.”
Bir risk yönetimi yaklaşımı benimseyerek, OEM’lerin görüşmelerini verilerini istiflemekten, sorunlarını çözmelerine yardımcı olan bir topluluk istemeye değiştirir. John, “Benim için bu, tüm bu farklı sistemleri organize edebileceğiniz, zamana veya ürüne, varlığa göre vb. “Ardından, tüm bunlara merkezi bir sistemde sahip olduğunuzda, bu bilgileri daha iyi kararlar almak için kullanabilirsiniz.”
Bu ihtiyacı fark eden ve bir fark yaratmak isteyen John, daha güvenli araçlar için bir araya gelip işbirliği yapmak üzere çeşitli ekosistem oyuncularından oluşan küçük bir grup oluşturdu. ASRG’yi 15 kişilik bir grupla birlikte kurdu ve bilgi, ağ oluşturma ve işbirliğinin özünde olacağına karar verdi.
Ağustos 2016’da bir taban örgütü olarak başlayan organizasyon, hızla 57 lokasyonda 15.000 üyeye ulaştı. Her biri, gizlilik sözleşmelerinden vazgeçerek ve bunun şu veya bu şirkete yardım etmekle ilgili olmadığını anlayarak, yaptıkları işin merkezinde iletişimle çalışır. Herkes bu işte birlikte. “Bunu tek başımıza yapamayız. Tedarikçi olmanız önemli değil. OEM olmanızın bir önemi yok. Hizmet sağlayıcı olmanız farketmez. İhtiyacımız olan bilgiye sahip insanların yetkinliklerine ihtiyacımız var,” dedi John. “Tedarik tabanınıza güvenin, katılın, sağlıklı bir tedarik tabanına sahip olun. Bu ilişkiler anahtardır. Zamanında teslimat yapmanıza yardımcı olacaklar.”
Son çıkarımlar için Heldreth’in günümüzün ürün güvenliği profesyonelleri için teknik olmayan üç pratik ipucu var. Bunlar: Sabırlı olmak, anlayışlı olmak ve kolektif hedefe göz kulak olmak.