Bu Help Net Security röportajında, REE Automotive’in CISO’su Yaron Edan, ağırlıklı olarak elektrikli ve bağlantılı araçlara odaklanan otomotiv endüstrisinin siber güvenlik manzarasını tartışıyor.
Edan, teknolojik gelişmelerin getirdiği zorlukların altını çiziyor ve otomobil üreticilerinin siber tehditleri etkili bir şekilde ele almalarına yönelik stratejilerin ana hatlarını çiziyor. Ayrıca araç güvenliğinin sağlanmasında tüketici bilincinin önemini vurguluyor.
Otomotiv sektöründe, özellikle elektrikli ve bağlantılı araçlar bağlamında siber güvenliğin durumunu anlatabilir misiniz?
Otomotiv endüstrisi, öncelikle elektrikli ve otonom araçların piyasaya sürülmesi ve popülerliği sayesinde araçların tasarlanma, üretilme ve kullanılma şeklini dönüştüren dijital bir atılım yaşıyor. Araç yaşam döngüsü boyunca teknolojik gelişmeler tanıtılmış ve entegre edilmiştir. Bu, her gün kullandığımız arabalara daha fazla güvenlik ve daha fazla verimlilik gibi çok sayıda fayda sağlıyor, ancak aynı zamanda yeni ve acil siber güvenlik zorluklarını da beraberinde getiriyor.
Artık araçlarımız internete giderek daha fazla bağlanabildiğinden, Havadan (OTA) güncellemelerden geçebilir, uzaktan yönetimi kullanabilir, Gelişmiş Sürücü Destek Sistemlerini (ADAS) içerebilir ve yapay zekayı kullanabilir, siber saldırıların potansiyel yolları tehditlere karşı genişledi aktörlerin önemli ölçüde istismar etmesi.
Otomobil üreticileri en yeni araç modellerindeki siber güvenlik sorunlarını çözmek için hangi adımları atıyor?
Araçlarımızda farklı formlarda ve artan miktarlarda yazılımlar kullanıyoruz. İlk zorluk, yalnızca yazılımı kimin sağladığı açısından değil, tedarik zincirindedir; sorun her katmana nüfuz ediyor. Otomobil üreticilerinin, her bir riskin başlangıcını ve yerini belirlemek için bunu risk yönetimi perspektifinden anlaması gerekiyor. Tedarikçiler bu sürece dahil olmalı ve otomobil üreticisi tarafından uygulamaya konan yönergeleri takip etmeye devam etmelidir.
İkinci zorluk yazılım güncellemeyi içerir. Teknoloji gelişmeye devam ettikçe ve daha fazla özellik eklendikçe, siber suçlular, teknolojinin yeniliği nedeniyle farkında olmadığımız sistemlerdeki kusurlardan ve boşluklardan yararlanmanın yeni yollarını buluyor. Sistemlerdeki delikleri yamamak, mevcut güvenlik açıklarını iyileştirmek ve ürün performansını iyileştirmek için ürünlere düzenli yazılım güncellemeleri uygulanmalıdır.
Bu zorlukların üstesinden gelmek için otomobil üreticilerinin, otomotiv endüstrisindeki ürün ve tedarik zincirinin her katmanında ne tür tehditlerin ve ne tür tehdit aktörlerinin aktif olduğunu anlamak için bir ilk risk değerlendirmesi yapması gerekiyor. İlk risk değerlendirmesinden elde edilen deneyime dayanarak, her iç ve dış çalışanın ve tedarikçinin şirketteki güvenliği sağlamadaki rollerini bilmesini sağlayacak bir prosedür uygulamaya konulmalıdır.
Prosedür, otomotiv endüstrisinde hangi tür tehdit aktörlerinin aktif olduğunu, bunların nerede bulunduğunu ve her bir tehdidin ciddiyetini belirler. Tehdit aktörlerinin dünya çapında çok sayıda bulunması ve her grubun çeşitli derecelerde farklı saldırı biçimleri kullanması nedeniyle bu durum karmaşıktır. Otomobil üreticileri, varlıklarını korumaya yardımcı olmak için günlük olarak toplanan bilgileri kullanıyor. Ek olarak, prosedürlerin doğru bir şekilde takip edildiğini, güncellenmesine gerek olmadığını vb. doğrulamak amacıyla her tedarikçiyi ve çalışanı değerlendirmek için düzenli olarak denetimler yapılmalıdır.
Araç üreticilerinin siber güvenliği tasarım ve geliştirme sürecine nasıl entegre ettiğini açıklayabilir misiniz?
Fabrika hattınızı çalıştırdıktan sonra siber güvenliği üretim sürecine entegre etmenin ilk adımı, riski ve boşlukların nasıl kapatılacağını anlayarak operasyon teknolojisi (OT) politikasını güvence altına almaktır. Üreticilerin, bilgisayarlar gibi sistemlerden ziyade ürün gruplarından, sensörlerden ve üretim sürecinde yer alan diğer ekipmanlardan gelen binlerce benzersiz tehdidi içeren OT tehditleriyle uğraşması gerekiyor.
Bu aşamada kullanılan ekipmanın basitliği nedeniyle bu tehditler göz ardı edilirse özellikle tehlikeli olabilir. Diyelim ki bir tehdit oyuncususunuz ve bir otomobil üreticisine zarar vermek istiyorsunuz. Bu durumda buluta veya bir otomobil üreticisinin çalışanlarına siber saldırı düzenlemek çok daha zor oluyor. Yine de fabrika hattına saldırmak daha kolaydır çünkü ihlal edilmesi daha kolay ekipmanlar kullanır ve eylemler daha az tespit edilir. Bu, tehdit aktörlerinin hedef alabileceği çok yaygın bir alandır.
Bağlantılı ve elektrikli araçları siber tehditlere karşı korumak için hangi temel stratejileri öneriyorsunuz?
Otomotiv şirketlerinin siber güvenlik tehditlerine karşı tepkisel olmak yerine proaktif bir yaklaşım benimsemesi gerekiyor. Bu, güvenlik ekiplerinin daha sonra hasar oluştuktan sonra yanıt vermek yerine tehditlerden kaçınmasına olanak tanır. Şirketlere önerebileceğim birkaç proaktif strateji şunlardır.
- Mevcut ve gelecekteki riskleri anlamak ve önceliklendirmek için bir risk değerlendirmesi yapın.
- Tüm çalışanların güvenliği sağlamadaki rollerini bilmeleri için şirket çapında güvenlik politikaları ve prosedürleri geliştirin.
- Çalışanları eğitmek için düzenli güvenlik eğitimleri ve farkındalık programları düzenleyin.
- Ağ trafiğinizi herhangi bir anormalliğe karşı düzenli olarak izlemek için güvenlik duvarları, algılama sistemleri ve şifreleme dahil olmak üzere güçlü ağ güvenliği önlemlerini uygulayın.
- Kritik verileri düzenli olarak yedekleyin ve güvenli konumlarda saklayın.
- Bir siber saldırı sırasında atılacak adımları özetleyen kapsamlı bir olay müdahale planı geliştirin.
- Güvenlik önlemlerinin etkinliğini değerlendirmek ve iyileştirme alanlarını belirlemek için periyodik güvenlik denetimleri gerçekleştirin.
Siber güvenlik, sürekli dikkat ve adaptasyon gerektiren devam eden bir süreçtir; mevcut stratejiler muhtemelen geçerliliğini yitirecek ve yeni tehditler ortaya çıktıkça yeniden çalışılması gerekecektir.
Elektrikli ve bağlantılı araçlara yönelik siber güvenlik standartlarının şekillendirilmesinde düzenleyici kurumların rolü nedir?
Düzenleyici kurumlar, siber güvenlik standartlarının şekillendirilmesinde rol oynar, ancak ürünlerinizin güvenliğini doğrudan sağlamanıza yardımcı olmazlar; bu, otomotiv tedarik zincirindeki her bir oyuncuya bağlıdır. Düzenleyici kurumların hedefi, otomobil üreticilerine siber saldırı durumunda atılacak adımlar, hangi oyuncularla iletişim kurulacağı ve tehdidin ciddiyetine bağlı olarak ne kadar derinlere ulaşılacağı konusunda en iyi uygulamaları sunmaktır.
Bir otomobil üreticisi belirli düzenleyici kurallara uyduktan sonra, düzenleyici kurumlardan bir saha ziyareti yapmalarını isteyecek, burada aylarca denetimler yürütecekler, ellerinden geldiğince her katmanı hacklemeye ve zayıf alanları aramaya çalışacaklar. neyin düzeltilmesi gerektiğini belirlemek için. Otomobil üreticisi tamamen uyumlu hale gelinceye kadar bu sürecin tekrarlanması gerekiyor.
Tüketicilerin elektrikli veya bağlantılı araçlarının siber güvenliğini sağlamak için bilmesi gereken en iyi uygulamalar nelerdir?
Tüketicilerin araçta toplanan verilerin gizli kalmasını sağlaması gerekiyor. Örneğin, elektrikli bir aracınız (EV) varsa ve onu şarj etmeniz gerekiyorsa halka açık bir şarj istasyonunu ziyaret edebilirsiniz. Pek çok kişi bunu bilmiyor ancak araç verilerinizin halka açık şarj istasyonlarında hacklenmesi kolay olabilir çünkü yalnızca elektrik değil aynı zamanda veri de aktarıyorsunuz.
Bunun yaşanmaması için araç sahiplerinin doğru soruları sorması gerekiyor. Bir EV sahibi olmak, örneğin bir ev sahibinin büyük bir mutfak aleti almaya gitmesinden farklı değildir. Kimin yaptığı, şirketin bir siber güvenlik prosedürünün olup olmadığı, şu anda düzenleyici kurum gerekliliklerine uygun olup olmadığı vb. dahil olmak üzere doğru soruların sorulması gerekir. Tüm yazılımların düzenli olarak güncel olduğundan emin olmak da önemlidir. EV kullanıcılarının, güvenli bir ağ kullanarak güvenilir markaların resmi yazılımlarını indirmeleri gerekir.
Otomobil üreticilerinin yanı sıra tüketiciler de kendi güvenliklerinden kısmen sorumludur ve bunun kamuoyuna daha fazla vurgulanması gerekiyor. Bu bilgi olmadan tüketiciler, siber suçluların saldırılarına karşı oldukça savunmasız kalır.