Este artículo apareció originalmente en la unidad.
Cuando la mayoría de la gente piensa en la industria automotriz, es probable que su mente no salte inmediatamente a la seguridad cibernética. Después de todo, una caja de acero de dos toneladas con ruedas no grita exactamente “computadora”. Pero a medida que los vehículos se vuelven más conectado con sistemas centralizadosentre sí, y el mundo exteriorqueda claro que la ciberseguridad es más relevante para los automóviles de hoy que nunca.
El miércoles, la Administración Nacional de Seguridad del Tráfico en las Carreteras publicó un conjunto de mejores prácticas que deben seguir los fabricantes de automóviles al construir nuevos vehículos y las pilas de software que los sustentan. El documento, que se publicó por primera vez en el Registro Federal el año pasado, es una actualización de la guía de la agencia de 2016 y se centra en gran medida en los vehículos interconectados y sus respectivos sistemas de seguridad.
NHTSA-Cybersecurity-Best-Practices-2022
Quizás una de las áreas más cruciales en las que se está enfocando la NHTSA involucra sensores de vehículos. La agencia menciona la manipulación de sensores como un área emergente de preocupación relacionada con la ciberseguridad de los vehículos y señala que la posibilidad de manipular los datos de los sensores podría resultar en un riesgo para los sistemas críticos para la seguridad. Las áreas contra las que la NHTSA llama a los fabricantes de automóviles para protegerse son Lidar y radar. interferencia, falsificación de GPS, modificación de señales de tráficoel cegamiento de la cámara y la excitación de los falsos positivos del aprendizaje automático.
Los vehículos con capacidades de actualización por aire (OTA) también están en el radar de la NHTSA. Específicamente, la agencia dice que el fabricante de automóviles debe mantener no solo la integridad de las actualizaciones cruciales del vehículo, sino también los servidores subyacentes que albergan las actualizaciones OTA, así como el mecanismo de transmisión entre el vehículo y los servidores, así como el proceso de actualización que tiene lugar en el vehículo. Además, la NHTSA insta a los fabricantes de automóviles a considerar las preocupaciones generales de seguridad cibernética, como amenazas internas, ataques de intermediarios, vulnerabilidades de protocolo y servidores comprometidos.
Se alienta tanto a los vehículos que se pueden actualizar de forma remota como a los que no, a fortalecer el acceso al firmware del vehículo para ayudar a frustrar las preocupaciones relacionadas con la seguridad cibernética. Muchos fabricantes de automóviles están haciendo esto hoy en día al cifrar el firmware de la ECU, aunque esto a veces se puede vencer con un flash de banco. La NHTSA pide a los fabricantes de automóviles que “empleen técnicas de última generación” para evitar esto. Lo que eso podría significar para la escena del mercado de accesoriossin embargo, se desconoce pero es poco probable que sea una buena noticia para aquellos que buscan tunear su automóvil.
Por último, no todo lo que la NHTSA incluyó en el documento es de vanguardia. De hecho, la gran mayoría de las recomendaciones giran en torno a la marco de seguridad NIST o simplemente se repitieron de la guía de 2016 y todavía tienen valor hoy.
Un componente clave que se extrajo de las mejores prácticas de 2016 involucra los dispositivos del mercado de accesorios. La NHTSA recuerda a los fabricantes del mercado de repuestos que, si bien puede parecer que sus dispositivos no pueden afectar los sistemas de seguridad de la vida, deben diseñarse teniendo en cuenta tales consideraciones y también deben someterse al mismo tipo de verificación de seguridad que los vehículos mismos. Dispositivos aparentemente inofensivos, como dongles de seguros y dispositivos de recolección telemática, podrían usarse como proxy para otros ataques. Debido a esto, NHTSA recomienda enviar señales de seguridad críticas separadas del tráfico general de CAN Bus. Por ejemplo, aislar los mensajes enviados a los actuadores de control de tracción que controlan la función de frenado físico para evitar ataques de repetición y suplantación de identidad.
La capacidad de servicio del vehículo es otro elemento extraído de la última iteración de las mejores prácticas. La NHTSA dice que las protecciones de seguridad cibernética no deben restringir indebidamente el acceso a los servicios de reparación de terceros, un argumento que utilizaron los grupos comerciales de la industria. durante una reciente lucha por el derecho a la reparación en Massachusetts. Según un expediente judicial, el grupo comercial argumentó que los fabricantes de automóviles tendrían que “hacer que los elementos de diseño de seguridad cibernética no funcionen” instalados en los vehículos para cumplir con los requisitos de derecho a reparación aprobados por los votantes. Si la industria hubiera seguido las pautas de la NHTSA de 2016 (y ahora de 2022), es posible que esto no haya sido un gran problema.
A pesar de todas estas recomendaciones, en última instancia depende del fabricante de automóviles seguirlas. La NHTSA simplemente transmite estas pautas voluntarias para que los fabricantes de automóviles mejoren su propia madurez de ciberseguridad en función de su nivel de riesgo aceptado. Sin embargo, este tipo de orientación es necesaria en una industria en rápido crecimiento como la de los automóviles conectados. los superficies de ataque de hoy podría representar una fracción de lo que la industria ve mañana, y sin algún organismo regulador que apunte en la dirección correcta, podría ser mucho más condenatorio que simplemente abrir puertas.