Cómo el proveedor de automóviles Harman aprendió a combatir a los ciberdelincuentes

[ad_1]

Cuando los investigadores piratearon remotamente un Jeep Cherokee en 2015, reduciéndolo a un ritmo lento en medio de una carretera de EE. UU., El portal que usaron los piratas informáticos fue un sistema de información y entretenimiento creado por el proveedor Harman International. Harman, ahora parte de Samsung Electronics, desde entonces ha desarrollado su propio producto de seguridad cibernética, y compró la empresa de seguridad cibernética con sede en Israel TowerSec por $ 70 millones para ayudarlo a revisar los procesos de fabricación y analizar el software de terceros.

Los costosos esfuerzos han evitado otra violación pública y la han ayudado a convertirse en un jugador clave en la seguridad cibernética automotriz, pero muestran la tensión que enfrentan los proveedores y fabricantes de automóviles al lidiar con esta nueva dimensión de la tecnología automotriz.

"Al final del día, la automotriz es un negocio muy competitivo con pequeños márgenes. Si un competidor quiere pagar el costo para ganar el negocio, debe hacer lo mismo", dijo Geoffrey Wood, director de negocios de seguridad cibernética de Harman. desarrollo, que se unió a la compañía a fines de 2016.El mercado de seguridad cibernética automotriz ha experimentado un crecimiento exponencial. Si bien los ingresos globales fueron de alrededor de $ 16 millones en 2017, se espera que alcancen $ 2.3 mil millones en 2025, según IHS Markit, impulsado por Harman, Garrett Motion Inc, los proveedores alemanes Continental AG, Robert Bosch y una gama de compañías más pequeñas de Estados Unidos e Israel. .

Asegurar los automóviles de los piratas informáticos es una tarea compleja para estas empresas. Los vehículos moder nos funcionan con 100 millones de líneas de código, están equipados con cientos de tecnologías diferentes y pueden tener hasta 150 unidades de control electrónico que utilizan varios sistemas operativos.

A diferencia de la electrónica de consumo, los automóviles pueden permanecer en uso durante décadas, mucho después de que los sistemas operativos y el software de componentes dejen de ser compatibles a través de actualizaciones que corrigen vulnerabilidades, un desafío con el que la industria todavía está lidiando.

Los requisitos de seguridad cibernética automotriz ahora figuran en cientos de páginas desde hace solo una página hace cinco años, según entrevistas con una docena de profesionales de seguridad cibernética automotriz. Para sus 2024 vehículos en desarrollo en BMW AG, por ejemplo, los proveedores deben garantizar que la conducción las unidades de control del sistema no tienen conexión directa con los dispositivos conectados a Internet de los clientes, dijo Michael Gruffke, jefe de funciones del sistema de seguridad de BMW, que obtiene piezas de Harman.

Los pequeños proveedores de automóviles con márgenes de ganancia bajos a menudo son el eslabón más débil para los piratas informáticos, dijo Rotem Bar, un profesional de seguridad cibernética hasta hace poco en la empresa israelí Cy Motive, que se ha asociado con el fabricante de automóviles alemán Volkswagen AG.

Pero los fabricantes de automóviles aún suelen entregar pruebas y garantizar la seguridad de los sistemas de datos a sus subcontratistas, dijeron expertos de la industria.

"Realmente está transfiriendo la carga a los proveedores porque el fabricante de automóviles no puede probar y verificar todo a lo largo de la cadena de suministro", dijo Dennis Kengo Oka, arquitecto senior de soluciones de Synopsys Inc (SNPS.O), quien realiza investigaciones sobre seguridad cibernética automotriz .

En BMW, más del 70 por ciento de los componentes de sus vehículos son fabricados por proveedores. "Por lo tanto, debemos esperar que nuestros socios asuman la responsabilidad de implementar la ciberseguridad en las entregas respectivas", dijo el fabricante de automóviles en un comunicado. General Motors (GM.N) dijo en un comunicado que maneja "una cantidad significativa de trabajo" relacionado con la seguridad y prueba sin pasar el gasto a sus socios de la cadena de suministro.

Ford Motor Co y Fiat Chrysler no respondieron a las solicitudes de comentarios. Volkswagen y Daimler AG declinaron hacer comentarios.

CREACIÓN DE NEGOCIOS DE SEGURIDAD CIBERNÉTICA

Harman vio su experiencia de pirateo de Jeep como una oportunidad comercial viable: el proveedor hoy vende software de seguridad cibernética que permite a los fabricantes de automóviles monitorear sus flotas y proporcionar actualizaciones de software por aire. Los analistas de IHS Markit consideran a Harman uno de los mejores jugadores en ese segmento, con unos 20 fabricantes de automóviles que utilizan sus servicios por aire.

Harman no divide los ingresos de ese negocio. Pero la compañía intenta recuperar algunos costos cobrando precios más altos por la seguridad avanzada ". Tenemos que educar a nuestros vendedores en conversaciones con los departamentos de compras de los fabricantes de automóviles y decir 'no dejes esto sin agregar seguridad cibernética a tu presupuesto', "dijo Amy Chu, directora sénior de seguridad de productos automotrices de Harman.

Asaf Atzmon, el vicepresidente y gerente general de ciberseguridad automotriz con sede en Israel, dijo que Harman ha recorrido un largo camino desde que se unió en marzo de 2016 como parte del acuerdo TowerSec.

En ese momento, Harman solo empleó a algunos arquitectos de seguridad, y la compañía luego cambió su estructura organizativa, nombrando o contratando profesionales como Wood y Chu para supervisar los esfuerzos de seguridad cibernética, dijo Atzmon.

Los cambios ayudaron a Harman a considerar los problemas de seguridad cibernética en cada etapa del proceso de producción, creando una lista de verificación para ingenieros que incluye el escaneo de errores de software de terceros, aumentando las propias defensas de seguridad cibernética de Harman y creando un análisis de riesgo de vulnerabilidades potenciales para cada componente.

En lugar de simplemente agregar características de comodidad como Bluetooth, por ejemplo, los diseñadores ahora tienen que mostrar primero cómo asegurarían dicha conexión. Un desafío particular es asegurar los vehículos durante todo su ciclo de vida, dijo Chu. Los profesionales de ciberseguridad están acostumbrados a simplemente emitir parches de software, pero los ingenieros automotrices advierten que solo una fracción de los vehículos puede recibir actualizaciones por aire.

Durante el pirateo de Jeep, se tuvieron que emitir retiros costosos para 1.4 millones de vehículos para corregir fallas de software en los concesionarios. Hasta el momento, Tesla Inc, que ofrece actualizaciones inalámbricas como estándar incluso para funciones críticas para la seguridad, es la excepción.

"Las cosas no son tan fáciles para nosotros en la industria automotriz", dijo Chu.

Consciente de los muchos desafíos, la industria en los últimos años se ha unido en una rara muestra de colaboración. Los fabricantes de automóviles en 2015, poco después del ataque de Jeep, crearon un grupo para compartir amenazas y vulnerabilidades y las compañías actualmente intentan definir estándares de seguridad cibernética para toda la industria que a su vez podrían reducir los costos para los proveedores.

Aún así, no se espera que se publiquen estándares comunes antes del próximo año. Y algunos de los estándares podrían diluirse para proteger a los proveedores más pequeños y garantizar que tengan los recursos para cumplirlos, dijo Victor Murray, líder del grupo en el Southwest Research Institute, que prueba los automóviles y los componentes para detectar vulnerabilidades de seguridad cibernética.

0 0 Comentarios

"Debes tener cuidado y no encajonar a nadie porque si los proveedores más pequeños se ven abrumados con los mandatos, estarán fuera del negocio", dijo Murray.

(Esta historia no ha sido editada por el personal de NDTV y se genera automáticamente a partir de un feed sindicado).

Para conocer las últimas noticias y reseñas de autos, siga CarAndBike en Gorjeo, Facebooky suscríbete a nuestro Youtube canal.



[ad_2]

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.