Birçok otomotiv şirketinde, aynı sistem mühendislik ekipleri hem güvenlik hem de güvenlikten sorumludur. Sonuç olarak, siber güvenlik, örtük bir varsayımla yetersiz olan bir güvenlik alt kümesi olarak ele alınır: “Güvenli ise, güvenli olmalıdır.”
Ama bu her zaman böyle değildir.
Endüstri genelinde birçok baş bilgi ve ürün güvenlik görevlisinin gördüğü gibi, ISO 26262 kapsamında işlevsel olarak güvenli kabul edilen bir araç, özellikle bağlı araçlar, yazılım tanımlı mimariler ve hava üzerindeki güncellemeler sektör için standart büyürken siber tehditlere karşı oldukça savunmasız olabilir.
Siber güvenlik, kuruluş genelinde uçtan uca kendi bağımsız endişesi olarak ele alınmalıdır. Geleneksel güvenlik çerçeveleri altında bir araya gelmek, siber esnekliğin ciddi şekilde öngörülmesi riskini taşır.
Güvenlikten korunmak, CISO/PSO’nun orijinal ekipman üreticisine (OEM) veya tedarikçiye, araç sistemlerinden tedarik zinciri bütünlüğüne kadar her şeyi hedefleyen dijital tehditlere daha iyi yanıt verme yeteneğini nasıl güçlendirebilir?
Günümüz gerçekliğinin organizasyonunu güncellemek
Güvenlik ve güvenlik aynı madalyonun iki tarafı olmasına rağmen, işlevleri ayırma, mülkiyeti netleştirme ve güvenlik ve güvenlik ekipleri arasındaki işbirliğini güçlendirme ihtiyacına yol açan temel farklılıklar vardır – özellikle de ürün geliştirmenin kavram, tasarım ve doğrulama aşamaları sırasında.
Güvenlik, kasıtsız arızalar ve hatalarla ilgilidir; Oysa güvenlik kasıtlı yanlış kullanım ve tehditlerle ilgilidir.
Otomotiv endüstrisindeki farklı gereksinimlerin ve risklerin farklı kavramlarıdır ve buna göre farklı standartlar ve düzenlemelerle ele alınmaktadır.
Örneğin, Tehlike Analizi ve Risk Değerlendirmesi (HARA), geleneksel olarak ISO 26262 gibi standartlara uygun olarak fonksiyonel güvenlik ile ilgili tehlikeleri değerlendirmek için kullanılırken, tehdit analizi ve risk değerlendirmesi (TARA), tehditleri tanımlamak için ISO 21434 tarafından gereken ilgili güvenlik faaliyetidir.
Ayrıca, Siber Güvenlik ve ISO/SAE 21434 Tedarik zinciri güvenliğini zorunlu kılar, gizlilik, veri ve kontrol bütünlüğünü korumaya yardımcı olur.
Bununla birlikte, henüz kitlesel fidye yazılımı veya diğer önemli saldırıların büyük ölçekli bir şekilde benimsenmediği için, endüstri giderek daha fazla muhafazakar bir yaklaşım benimsemiştir ve asgari gereksinimlere asgari bir şekilde düzenlenebilir olarak hizalanmıştır. Çözmek için başka, görünüşte daha fazla taktiksel sorunlar var (örneğin, tarifeler, değişen tedarik zinciri, menşe ülke etrafında yeni gereksinimler, vb.) Ve bu nedenle, siber güvenlik bazı durumlarda öncelik zincirinde kalır ve güvenlik ve güvenlik arasındaki değişimler gerektiğinde kaybeder.
Sektördeki çoğu şirket, güvenlik ile görevli üç takımın olduğu bir organizasyon tasarımı sürdürmektedir: Ürün Güvenliği (PS), Bilgi Teknolojisi (BT) Güvenlik ve Operasyonel Teknoloji (OT) Güvenliği. Bununla birlikte, PS tipik olarak BT ve OT bütçe merkezinden ayrılır ve güvenlik bütçesinden finanse edilir.
Bununla birlikte, aynı zamanda, otomotiv siber saldırı yüzeyi boyut ve karmaşıklık açısından patlıyor. Günümüzün yazılım tanımlı araçlarda (SDV), arabanın içinde ve ötesinde birbirine bağlı her işlev, ağ katmanı, bölgesel denetleyici, işletim sistemi ve araç-x bağlantısı arasında siber tehditler gelişmektedir.
OEM panoları ve üst yönetim büyük ölçüde kuruluşlarının artık birbirlerinin tek başına ürüne, BT ve OT güvenlik alanlarına bakamayacağı ve en ilerici OEM’ler ve Seviye 1 ve Seviye 2 tedarikçileri, baş bilgi memurlarına, organizasyonlara cyberecurity’yi SDV gelişiminin kendi kritik bileşeni olarak ele alma yetkisi verme yetkisi vermektedir.
Nihayetinde, güvenlik açısından kritik alanlar daha iyi siber güvenlik duruşu uygulamak için ankraj olarak kullanılabilir.
Güvenlik ve güvenliğin ayrıştırılması, Güvenlik’e özgü doğrulama belgelerini, eserleri ve TARA, Yazılım Malzeme Yasası (SBOM), kriptografik malzeme faturası (CBOM) ve bileşenlerin kökeni gibi varlıkları uygulayarak OEM’lerin tedarikçilere açık güvenlik gereksinimlerini sağlama yeteneğini kolaylaştıracaktır.
Ayrıca, ayrıştırma, güvenlik ekiplerinin bir güvenlik ve tehdit lensi aracılığıyla tedarikçilerle doğrudan teknik tartışmalara sahip olmalarına yardımcı olacak ve bu da gerçek yetenek olgunluğuna daha fazla odaklanmaya yol açacaktır. Bu, paylaşılan güvenlik çözümlerinin ve sorumluluklarının yolunu açıklayabilir.
Başarı için CIOS/CISO’ları güçlendirmek
Siber güvenlik profesyonelleri kendi alan alanlarında yerleşik kalacak olsa da, bağlantı, donanım ve yazılım dağıtım mekanizmaları dahil olmak üzere tüm araç bağlantı noktalarında gözetim ve görünürlük sağlamak için çapraz fonksiyonel bir katman ortaya çıkmaktadır. Siber güvenlik açısından, kuruluş üç güvenlik alanını etkili bir şekilde birleştiriyor ve etkinliği güvenlikten ayırıyor.
Bu, organizasyonu, siber tehditleri etki alanı düzeyinde kapsamlı bir şekilde yönetmek, proaktif olarak alan arası riskleri azaltmak, tedarik zinciri boyunca görünürlüğü korumak ve gerektiğinde mühendislik, altyapı veya konfigürasyon değişikliklerini uygulamak için konumlandırır. Güvenlik ekiplerinden geçen geri bildirim döngüsünün çok hızlı bir yinelemede gerçekleşmesi gerektiği açıktır.
Bu örgütsel dönüşüm elbette küçük ölçekli bir görev değildir. Bu, çoğu durumda başarı için yukarıdan aşağıya bir direktifin ağırlığını gerektirecek dev bir girişimdir. Bu, yönetim kurulu düzeyindeki eğitimi çoğu CIO ve CISO’ların karşılaştığı ilk iş yapar.