Profesionales

Sistemas de Transporte Seguros y Protegidos

Los ejecutivos de ciberseguridad en el sector automotriz deben adoptar nuevos estándares de seguridad organizacionales y de productos que fomenten la cooperación en toda la cadena de suministro. Las redes de comunicación de vehículos, como la red de distancia del controlador (CAN), no están diseñadas para autenticar el tráfico de mensajes. Ahora, los rápidos cambios en la tecnología han introducido hipervínculos y automatización que deben integrarse de forma segura en los vehículos.

Los vehículos ahora incluyen Bluetooth, Wi-Fi, satélite, celular, NFC y otras comunicaciones que permiten la conectividad de vehículo a vehículo, de vehículo a infraestructura y conectividad personal. El hardware está integrado para admitir sistemas avanzados de asistencia al conductor (ADAS) para automatizar funciones y proteger a los conductores. Sin un enfoque holístico de la ciberseguridad entre múltiples OEM y proveedores seriales, estas integraciones no pueden realizarse de manera segura.

La industria automotriz se está moviendo hacia la adopción de estándares de ciberseguridad que permitan a los OEM y proveedores comprender y evaluar mejor los objetivos de los clientes y las capacidades de ciberseguridad de los proveedores. ISO/SAE 21434 define un conjunto de requisitos y productos de trabajo relacionados que permiten a una organización implementar conjuntamente un sistema de gestión de ciberseguridad (CSMS). Los requisitos específicos de la organización garantizan que se implementen las políticas, los procedimientos y las tecnologías correctos para garantizar el entorno de desarrollo de una empresa. Los requisitos del ciclo de vida del producto garantizan que la ciberseguridad se tenga en cuenta en el diseño del producto durante todo el proceso de desmantelamiento. Además, las Regulaciones del Foro Global de Armonización de Vehículos de la UNECE WP.29 R156 brindan detalles sobre el desarrollo de un sistema seguro de gestión de actualizaciones de software (SUMS) para admitir actualizaciones posteriores al desarrollo de componentes dentro de los vehículos.

Las capacidades mejoradas de seguridad de la cadena de suministro desempeñarán un papel clave para permitir que los OEM y los proveedores cumplan con estos nuevos requisitos. Muchas organizaciones hoy en día confían en procesos que son estáticos y no tienen la capacidad de rastrear y administrar conjuntamente las amenazas y mitigaciones de ciberseguridad entre el cliente y el proveedor. Los ejecutivos de ciberseguridad automotriz deben comenzar a explorar nuevos métodos para transformar estos procesos de la cadena de suministro en capacidades de colaboración nuevas, dinámicas y continuas con los proveedores.

El primer paso en este proceso es la introducción de la facturación de contenido de software (SBOM) y la facturación de contenido de hardware (HBOM). SBOM / HBOM permite a un proveedor documentar la composición de un componente de software o hardware. Luego, un cliente puede usarlo para rastrear y mapear las vulnerabilidades de estos componentes más adelante. SBOM/HBOM se puede expresar de varias maneras, aunque en formatos legibles por software incluye el etiquetado de identificación de software (SWID) y el intercambio de datos de paquetes de software (SPDX).

Los OEM y los proveedores de nivel 1 deben poder articular claramente sus objetivos y requisitos de ciberseguridad para su base de proveedores, adaptados al componente específico que se suministra. Los objetivos y requisitos se basan en el contexto operativo en el que operará el componente. Los proveedores deben poder comprender estos objetivos y articular los aspectos de ciberseguridad del producto que ayudarán a sus clientes a alcanzar esos objetivos. Los clientes y proveedores deben poder identificar brechas de seguridad cibernética y rastrear esas brechas junto con su cierre. Tanto los clientes como los proveedores deben poder gestionar la participación en estas actividades distribuidas de ciberseguridad.

Los estándares como ISO / SAE 21434 subrayan la necesidad de una mayor visibilidad no solo de las amenazas y mitigaciones de ciberseguridad específicas del producto, sino también de los procesos organizativos generales utilizados por el proveedor. Esto incluye comprender los procesos del ciclo de vida de desarrollo seguro del proveedor, la capacidad de identificar amenazas utilizando un proceso de modelado de amenazas estandarizado y la capacidad de respaldar la seguridad cibernética para las actividades posteriores al desarrollo. La postura de seguridad cibernética del proveedor puede proporcionar información sobre la capacidad del proveedor para defenderse contra ataques sofisticados a la cadena de suministro, como ataques de canal lateral dirigidos a chips integrados o puertas traseras en software de código abierto.

Los automóviles son sistemas complejos que integran miles de piezas en un ecosistema de proveedores en serie. Diferentes componentes/partes introducen diferentes niveles de riesgo. Los clientes deben poder diferenciar los niveles de riesgo en su base de proveedores para escalar de manera efectiva estos nuevos recursos de ciberseguridad en la cadena de suministro. Por ejemplo, los proveedores de nivel 1/2 de sistemas de entrada, unidades de control de telemetría (TCU), equipos ADAS y otros sistemas informáticos deben evaluarse con un estándar más alto que los proveedores de nivel 3.

Debido a la continua introducción y dependencia de las tecnologías de comunicación, detección y automatización en los vehículos, la ciberseguridad es mucho más que un simple problema de cumplimiento. La seguridad de los pasajeros es primordial. Esto requiere que todos los participantes en el ecosistema automotriz inviertan en aumentar sus capacidades de ciberseguridad tanto internamente como en cooperación con sus proveedores. Los OEM y los proveedores ahora deben comenzar a implementar los requisitos y procesos especificados en ISO / SAE 21434 con el objetivo de transformar sus procesos de ciberseguridad y permitir la cooperación continua con los proveedores.

Editorial TNH

Editorial de Tiempo de negocios. Revista que ofrece las últimas noticias, análisis en profundidad e ideas sobre temas internacionales, tecnología, negocios, cultura y política. Además de su presencia en línea y para móviles a través de la web para llevar actualidad de alta calidad a nuestros lectores.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba