As diretrizes de segurança cibernética do Reino Unido para veículos conectados não são enfadonhas, mas são necessárias muito mais informações

Bob Emmerson
Isso começou como uma revisão de uma publicação do governo do Reino Unido intitulada, “ The Key Principles of Cyber ​​Security for Connected and Automated Vehicles, ”Palavras que soaram como linguagem entediante de funcionário público.

Esqueça isso, diz o escritor freelance de IoT, Bob Emmerson:é tudo menos enfadonho. Este documento é curto, 18 páginas; bem escrito, de fácil leitura; e repleto de diretrizes incisivas que se aplicam igualmente bem a outros setores industriais.

Funciona bem como uma introdução à segurança cibernética, mas para qualquer pessoa com um interesse sério no assunto, parece ser um tanto superficial. Existem sete páginas de desenhos de linhas bem elaborados de peças automotivas que realmente não acrescentam nada.

Eles poderiam e deveriam ter sido usados ​​para fornecer mais conteúdo sobre tópicos importantes, sem cair nos detalhes técnicos pesados. Tópicos como autenticação segura, usando tecnologias comprovadas baseadas em padrões e soluções que utilizam certificados digitais para fornecer o mais alto nível de segurança. Comentários semelhantes vieram de especialistas do setor.

Gary McGraw, VP de tecnologia de segurança da Synopsys comentou: “ Contar com qualquer governo para regulamentar os veículos autônomos provavelmente não será muito frutífero, especialmente quando se trata de segurança. A regulamentação de privacidade na Europa (e no Reino Unido) pode ter um impacto melhor. Felizmente, os fabricantes estão se esforçando e trabalhando diligentemente na segurança. É muito mais provável que acertem com empresas como a Synopsys, sem o envolvimento do governo. ”

Também houve dúvidas de Leigh-Anne Galloway, líder de resiliência de segurança cibernética da Positive Technologies :“Os princípios-chave propostos parecem razoáveis, mas duvidamos que sejam o suficiente para fornecer segurança quando se trata de tecnologia real. O princípio mais duvidoso é o último, dizendo que o sistema deve "responder apropriadamente quando sua defesa ou sensores falharem". Se os sensores não falharam, mas estão comprometidos, eles podem fornecer dados errados e colocar vidas humanas em perigo. ”

“Outro princípio que seria difícil de colocar em prática é aquele que diz 'todas as organizações, incluindo subcontratados, fornecedores e terceiros em potencial (devem) trabalhar em conjunto para aumentar a segurança do sistema'. Embora concordemos com essa diretriz, alguns dos recentes incidentes de IoT provam que esse conceito é dificilmente possível. Os provedores de telecomunicações não sabem sobre as vulnerabilidades de seus roteadores fabricados em algum lugar da China. Os guardas de segurança não sabem sobre as portas dos fundos das câmeras de vigilância que usam ”, acrescentou Galloway.

Ilia Kolochenko, CEO da empresa de segurança na web, High-Tech Bridge disse:“Este é um sinal muito positivo e um esforço louvável finalmente empreendido pelo governo. Os carros conectados e a indústria de IoT em geral precisam de regulamentação governamental e aplicação de padrões de segurança rígidos.

“No entanto, precisamos de diretrizes práticas muito mais detalhadas com a contribuição dos principais especialistas em segurança cibernética, profissionais e pesquisadores, não apenas um conjunto de práticas recomendadas generalizadas. Além disso, uma violação das diretrizes deve ser severamente sancionada, caso contrário, os vendedores de automóveis, e especialmente seus fornecedores, provavelmente as ignorarão ”, concluiu Kolochenko.

Para obter esta publicação, clique aqui.

O autor deste blog é Bob Emmerson, escritor freelance e observador da indústria de telecomunicações