Muhtemelen şu ana kadar bu cümleyi birkaç defadan fazla duymuşsunuzdur: Günümüzde her şirket bir yazılım şirketidir. Yüzeyde, birkaç noktayı birleştirmek ve bu ifadenin neden doğru olduğunu anlamak kolaydır. Dijital dönüşüm, kelimenin tam anlamıyla, dünyamızın her yönünü değiştiriyor, böylece bir şekilde dijital olarak bağlantılı hale geliyor. Örneğin çek bozdurmak için bir bankaya gitmek yerine artık bankanızın telefonunuzda bunu gerçekleştirebileceğiniz bir uygulaması var.
Sektör ne olursa olsun, bugün her kuruluş gerçekten bir yazılım şirketi olmalıdır. Müşteri cephesinde bu genellikle kullanımı kolay, yüksek kaliteli ve erişilebilir bir uygulama anlamına gelir. Ancak kuruluşların kendileri için ne anlama geliyor? Otomotiv endüstrisi, her sektörün ve şirketin yazılımı günlük işlerinin bir parçası olarak benimsemesinin derinliği ve siber güvenliğin neden bununla doğrudan bağlantılı olduğu konusunda bazı şaşırtıcı ve faydalı dersler sunuyor.
Otomotiv Endüstrisinin Yazılım Evrimi
Diğer tüm sektörlerde olduğu gibi, otomotiv endüstrisi de gelişmekte ve yeni teknolojileri benimsemektedir. Son birkaç on yılda, bir araba inşa etmek neredeyse tamamen donanım odaklı olmaktan çıkıp, eksiksiz bir yazılım yetenekleri filosu eklemeye dönüştü. Günümüz modern arabalarının çoğu, yaklaşık 20 yıl önce bile olmayan özelliklere sahiptir, örneğin:
● Sesli yardımcılar, navigasyon bağlantısı ve akış hizmetleri içeren bilgi ve eğlence sistemleri
● Güvenli sürüşe veya bazı durumlarda tam kendi kendine sürüş özelliklerine yardımcı olacak sensörler
Bunu başarmak için onlarca yıldır var olan otomobil üreticileri, yazılım geliştirmeye adanmış bütün bir bölümü eklemek için yatırım yaparak uyum sağlamak zorunda kaldı. Örneğin, Volkswagen, 5.000 yazılım mühendisi çalıştıran ve Volkswagen’i Almanya’nın en büyük yazılım şirketlerinden biri yapan şirket içi yazılım şirketi Cariad’ı kurdu.
Birçok üreticinin modern “akıllı” arabalara yaptığı hızlı dönüş etkileyici. Ama aynı zamanda ek risk ve sorumlulukla gelir. Geleneksel olarak, otomotiv endüstrisinin güvenlik düzenlemeleri ve standartları, aşağıdakiler gibi işlevsel güvenliğe odaklanmıştır: Elektrikli veya elektronik bileşenleri içeren güvenlikle ilgili sistemlerin uyumluluğunu ele alan ISO 26262. Ancak günümüz araçlarını oluşturan karışıma eklenen yazılımlarla birlikte endüstri standartlarının gelişmesi gerekti.
Otomotiv Siber Güvenlik Standartları Yükseliyor
Yazılımın olduğu her yerde, siber güvenlikle ilgili bir olay riski de vardır. Dört tekerlek ve bir motordan oluşan bir araba konseptini eğlence, bağlantı vb. içerecek şekilde geliştirdiğimizde, artan riski kabul ettik. Diğer tüm iş türlerinde kullanılan yazılımlarda olduğu gibi, siber güvenlik açıkları, riskleri ve saldırıları da artıyor. Aralık ayında, bir Sirius XM radyo bağlantılı araç hizmeti, bir güvenlik açığı nedeniyle birkaç araba markasını uzaktan bilgisayar korsanlarının saldırılarına maruz bıraktı. Bağlantılı hizmet şu anda Kuzey Amerika’da Acura, BMW, Honda, Hyundai ve Toyota dahil olmak üzere 12 milyondan fazla araba tarafından kullanılıyor.
Uluslararası Standardizasyon Örgütü, ISO/SAE21434:2021 ile modern otomobillerin yapısını ele alıyor. Standart, konseptten geliştirmeye, üretime, operasyona ve bakıma kadar siber güvenlik risk yönetimi için mühendislik gereksinimlerini içerir. Bugün yalnızca bu ISO standardına uyan yazılımların arabalara yerleştirilmesine izin verilmektedir.
Dersler öğrenildi
İlk başta, otomotiv geliştiricileri, bu eklenen siber güvenlik gereksinimlerinin, yazılımlarının üretimini ve nakliyesini yavaşlatacak bir sıkıntı noktası olabileceğinden endişe duyabilirler. Ne de olsa bu, iş tanımlarına eklenen ve büyük olasılıkla kaydolmadıkları başka bir madde işareti sorumluluk noktasıdır.
Şans eseri, modern siber güvenlik araçları, güvenlik testlerinin yazılım geliştirme yaşam döngüsüne (SDLC) uymasını sağlıyor. Statik uygulama güvenlik testi (SAST), dinamik uygulama güvenlik testi (DAST) ve geri bildirime dayalı uygulama güvenlik testi dahil olmak üzere güvenlik taramasına yönelik çeşitli yaklaşımlar, bir uygulama henüz çalışır durumdayken uygulamaları güvenlik açıkları ve hatalara karşı etkili bir şekilde test etmek için birlikte kullanılabilir. gelişim.
Otomotiv geliştiricilerinin bu süreçte öğrendiği şey, başlangıçtaki geliştirme korkularının ek siber güvenlik gereksinimleri nedeniyle yavaşlama korkusunun aksine, sürekli entegrasyon/sürekli teslimat (CI/CD) geliştirme süreçlerinde güvenlik taraması başladıktan ve çalışır hale geldikten sonra boru hattının daha hızlı olduğudur. ve öncekinden daha verimli. Hatalar ve kusurlar geliştirme aşamasında daha önce ve daha önce keşfedildiğinden, bunlar üretime geçmeden önce düzeltilir. Bu, geleneksel olarak bu sorunları çözmek için daha sonra geri dönmeyle ilişkilendirilen maliyet ve zamandan tasarruf sağlar. Bir hata veya kusur, yazılım geliştirme yaşam döngüsünde ne kadar ilerlerse, düzeltmenin maliyeti o kadar artar ve tabii ki üretime girerse, yazılım potansiyel bir siber güvenlik saldırısına karşı o kadar savunmasız olur.
Siber Güvenlik: Bir Rekabet Avantajı
Otomotiv endüstrisi, siber güvenliğe odaklanan ek ISO standartları gören birçok sektörden sadece bir tanesidir. Yazılım, dünyamızın her yerinde giderek daha kritik bir bileşen haline gelirken, sağlık, havacılık, enerji, finans ve daha birçok sektör kendi yeni siber güvenlik standartlarına ayak uyduruyor veya yakından takip ediyor. Tüm kuruluşların siber güvenlik yeteneklerine öncelik vermeye ve uygulamaya hazırlıklı olması gerekir (henüz yapmamışlarsa). Ayrıca deneyim ve uzmanlığa sahip geliştiricilere sahip olmaları gerekir. Doğru şekilde uygulandığında, güvenlik testinin geliştirme hızını ve yazılımın genel kalitesini ve güvenliğini iyileştirebileceğini anlamaları gerekir.