La Seguridad de los automóviles Conectados Es un Nuevo Tipo de Riesgo de Seguridad móvil

A principios de este año, publicamos un artículo sobre la necesidad de una llamada de atención de ciberseguridad en la industria automotriz. El punto focal de la historia fue un informe sobre la industria de Synopsys que presentó señales de alerta críticas para todas las organizaciones que operan dentro de la cadena de suministro automotriz.

Avance rápido hasta poco más de medio año después (una eternidad en el mundo de la tecnología), y parece haber más motivos para el optimismo.

Me puse en contacto de nuevo con Chris Clark de Synopsys no solo para saber dónde estaba todo, sino también para verificar el estado de la seguridad del automóvil conectado desde la perspectiva del consumidor. Clark me dijo que desde la última vez que hablamos en febrero, la industria ha reaccionado muy rápido a los desafíos de seguridad que se están planteando.

“Cuando una organización como Volkswagen sale y afirma que no solo el futuro del desarrollo de vehículos es crítico para la organización, sino que también lo es la seguridad de los vehículos que está desarrollando la organización, eso dice algo”, dijo.

Mantenerse al día con la tecnología automotriz en constante cambio
Una red sobre ruedas
La seguridad del automóvil conectado se incorporó desde el principio
Consejos prácticos para el Consumidor
El optimismo permanece A pesar de las Amenazas Profundas

Mantenerse al día con la tecnología automotriz en constante cambio

Según Clark, uno de los mayores desafíos de seguridad para la industria es el largo retraso entre los inicios conceptuales de un vehículo y su eventual lanzamiento, que a menudo puede ser de cinco años. Durante ese tiempo, entran en juego nuevas tecnologías de seguridad, por lo que los fabricantes de equipos originales (OEM) y otras organizaciones de la cadena de suministro están pensando más en la seguridad en el camino.

” Están dando algunos pasos importantes hacia adelante”, dijo Clark. “Parte del desafío es que cuando se mira el diseño de un vehículo y se mira la seguridad desde cero, hay que mirar los chips que impulsan ese sistema. Si hay debilidades en el nivel del chip, realmente no importa cuánta seguridad le pongas, todavía hay una debilidad.”

Recientemente, dijo, se ha instado a los fabricantes de chips a proporcionar soluciones mucho más robustas y seguras.

” Comenzaremos a ver esto más en entornos críticos para la seguridad, especialmente con el procesamiento multinúcleo requerido para los sistemas de visión y otras tecnologías de tipo malla de sensores. La industria está reaccionando con bastante rapidez, y es bastante impresionante verlo hasta ahora”, agregó Clark.

Una red sobre ruedas

Recuerde, el automóvil de hoy, incluso el vehículo más básico lanzado recientemente, es conducido por computadoras. Ya se trate de control de crucero, gestión de carriles, medición de carriles o el sistema de infoentretenimiento, hay una computadora que lo maneja. Según Clark, cuando hablamos de un coche, es realmente una “red sobre ruedas, con un montón de equipos.”

El enfoque de esa red para la mayoría de los vehículos es, quizás sorprendentemente, el sistema de infoentretenimiento. Y no se trata solo de conectividad 5G; los vehículos inteligentes armados con Zigbee pueden conectarse con sistemas domésticos inteligentes. Por ejemplo, cuando los automóviles se acercan a casa, pueden interactuar con la infraestructura del hogar y comunicarse con el propietario sobre el estado del vehículo.

Y, como cualquier red, vale la pena mencionar que el automóvil ahora está recolectando una cantidad significativa de datos. Los investigadores incluso han tenido éxito en la recuperación de información de identificación personal (PII) de vehículos de alquiler.

No pensamos lo suficiente en esto: recuerdo haber alquilado un coche el año pasado, y definitivamente conecté mi teléfono inteligente al sistema CarPlay. ¿Dejé alguna información personal en el cerebro del auto? Admito que mi corazón perdió un par de latidos cuando Clark mencionó esto.

Cualquier empresa con una flota de vehículos para ofrecer a sus empleados también debe tener en cuenta este problema de privacidad.

La seguridad del automóvil conectado se incorporó desde el principio

En cuanto a la seguridad general del automóvil conectado, los fabricantes de automóviles deben comenzar con las actividades fundamentales en el proceso de diseño del vehículo. Herramientas como pruebas de fuzz y análisis de código estático deben ser estándar, y están a punto de estandarizarse entre los fabricantes.

También es fundamental para los fabricantes de automóviles gestionar la deuda técnica una vez que el vehículo ha abandonado la producción. En muchos casos, el único momento en que se realiza el mantenimiento de un vehículo es en el concesionario, momento en el que a menudo se actualiza el software.

“Las organizaciones tienen que ver cómo administrar el software en esos autos durante la vida útil del vehículo”, dijo Clark. “Por lo tanto, la virtualización desempeñará un papel clave en eso.”

Debido a que los fabricantes no pueden mantener todas las versiones de su vehículo en el lote para tirar para las pruebas, Clark recomendó crear un entorno virtualizado para imitar el vehículo. Luego, pueden realizar el nivel de pruebas necesario para gestionar las vulnerabilidades de seguridad a medida que surgen a lo largo de la vida útil del vehículo. Si bien esto representa un serio desafío para la actual generación de automóviles, será más fácil para los vehículos en los próximos años cuando estén disponibles entornos más virtualizados en los que trabajar.

Finalmente, al abordar los diversos hacks que han afectado a la industria, Clark ha visto a los fabricantes de equipos originales abordar el problema de muchas maneras diferentes.

“La diversidad es realmente buena cuando empiezas a hablar de seguridad”, dijo Clark. “A medida que estos diversos métodos comienzan a madurar y vemos que algunos métodos funcionan mejor que otros, comenzaremos a ver a los proveedores en general llegar a metodologías de desarrollo estandarizadas y soluciones tecnológicas que al final benefician al consumidor.”

Consejos prácticos para el Consumidor

Para los consumidores que buscan comprar un automóvil “más inteligente”, hay numerosas opciones y características que pueden abrumar fácilmente incluso a los aficionados al automóvil más inteligentes. Según Clark, hay algunas preguntas que debes hacerte a ti mismo:

¿Tiene el vehículo un historial con cierto potencial de servicio y asistencia durante todo su ciclo de vida útil?
¿El vehículo tiene los atributos tecnológicos que me parecen interesantes y se integra con mi hogar, mi teléfono y mi estilo de vida en general?
Si hay mucha más electrónica en este vehículo de la que hay en la mayoría, ¿cómo se verá desde la perspectiva del seguro?

Esa última pregunta merece más discusión. Synopsys predice un aumento en el interés de los consumidores en torno a los requisitos razonables de ciberseguridad para un vehículo, especialmente cuando comienzan a mirar sus facturas de seguros después de la compra.

“Por lo general, la mayoría de los consumidores solo reaccionan cuando sienten un impacto financiero, y donde van a sentir que es el seguro”, dijo Clark, señalando que la industria de los seguros está examinando de cerca los vehículos futuros. “Ha habido un trabajo sustancial en los últimos tres años para que la industria de seguros examine la ciberseguridad en lo que se refiere no solo a los vehículos autónomos, sino también a los vehículos que tienen más electrónica que nunca.”

A medida que los vehículos avanzan hacia la autonomía total con características como la autorreparación y el autodiagnóstico, la seguridad y la protección sin duda tendrán en cuenta las tarifas de los seguros. Esto también será un factor inevitable en las decisiones financieras de los consumidores.

El optimismo permanece A pesar de las Amenazas Profundas

Durante la redacción de esta historia, CNN informó una advertencia del FBI que afirma que “la industria automotriz probablemente enfrentará una amplia gama de amenazas cibernéticas y actividades maliciosas en un futuro cercano.”

Esto ciertamente está sonando la alarma, pero cuando se detiene a pensar en ello, ¿qué industria no está siendo objetivo de las ciberamenazas? No dudo de que debemos ser cautelosos, pero ¿no solidifica eso el argumento de que todos debemos prestar más atención a la ciberseguridad en general? Afortunadamente, Clark me dijo que todos los proveedores de automóviles están desarrollando una lengua vernácula universal para compartir información sobre los requisitos de seguridad de los automóviles conectados.

“La industria está empezando a alinearse con un lenguaje común que pueden compartir para una comprensión clara y consistente de lo que se está pidiendo”, dijo. “Es un gran salto adelante con respecto a lo que hemos visto en los últimos dos años.”

Con tanto pesimismo en torno al estado del panorama de amenazas en la industria, es alentador escuchar que los fabricantes están adoptando los conceptos de seguridad más que nunca. Aún así, la industria no puede permitirse el lujo de quitar el pie del acelerador de la ciberseguridad.