English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
사이버 신뢰 구축에 어려움을 겪고 있는 자동차 산업
Dec 18, 2023성공적인 생태계를 위해서는 신뢰를 구축하기 위해 적절한 설계, 테스트 및 개선이 설치 및 유지되고 있다는 정부, 제조업체, 공급업체 및 하위 공급업체의 보기 어렵지만 지속적인 이해가 있어야 합니다. 사이버 보안.
존 W. 피터슨(John W. Peterson)의 1970년 찬송가 후렴은 “내가 볼 수 없을 때, 역경에 직면할 때에도 나는 당신을 믿겠습니다. 그리고 당신의 뜻이 항상 나에게 가장 좋다고 믿겠습니다. 볼 수 없을 때 나는 믿을 것이다.” 아마도 교회에는 좋을 것입니다. 그러나 Wired Magazine이 Charlie Miller와 Chris Valasek이 크라이슬러를 원격으로 해킹한 이후 거의 지난 10년 동안 자동차의 kumbaya에 대한 가사는 아니었습니다. 이 기술적 이정표는 업계에 해킹의 홍수가 임박했다는 사실을 알리고 전체 시스템의 충실도에 대한 신뢰를 해결해야 하는 긴급한 필요성을 강조했습니다.
하지만 그 신뢰는 개발자 신뢰, 생태계 신뢰, 구매자 신뢰 등 다층적이고 복잡합니다.
시스템 보안을 위한 설계, 코드 및 테스트를 제작한 공급업체를 신뢰하려면 시스템이 수많은 점검과 후속 조치에 접근해야 합니다.
제조업체로부터 아래로 내려오는 신뢰의 층위는 2010년 스릴러 '인셉션'만큼이나 깊습니다. CEO는 차량 프로그램(및 내부 IT)에 구축된 요구 사항을 감독하기 위해 중간 경영진이 전 세계 규정을 충족하거나 초과할 것이라고 신뢰해야 하는 최고 정보 보안 책임자(CISO)를 신뢰해야 합니다. 여기에서 수석 엔지니어는 제조업체와 공급업체 개발자 모두가 기술 보안 요구 사항을 수집하고 원하는 탐지 및 보호를 보장하는 프로세스와 제품을 공식화했음을 신뢰해야 합니다. 그 후 개발자는 테스트 엔지니어가 모든 취약점을 찾아내기 위한 테스트 계획과 스크립트를 개발했다고 믿습니다. 그리고 새로운 사이버 공격이 발생하면서 향후 20년 동안 이 모든 일이 반복됩니다. 모든 차량에 걸쳐. 모든 시스템에서. 모든 구성 요소에 걸쳐.
해결 방법 1: 첫 번째 오래된 해결책은 프로세스를 평가하는 것입니다. 엔지니어가 지침과 체크리스트를 따르면 작업 결과물은 표준을 준수해야 합니다.
해결 방법 2: 두 번째 솔루션은 최근 2023년 초에 출시되었습니다: 공동 테스트 플랫폼입니다. 이러한 유형의 시스템에서 공급업체는 반투명 커튼 뒤에 있는 테스트 환경에 코드를 로드합니다. 제조업체는 해당 코드가 모든 적절한 표준 및 알려진 위협에 대해 테스트되었음을 알 수 있지만 지적 재산(IP), 발견된 정확한 약점 등에 대한 가시성은 없으므로 독점 정보를 공개하지 않고도 솔루션에 대한 신뢰를 구축할 수 있습니다. 아니면 빌어먹을. “오늘날 차량에 대한 사이버 보안 프로세스는 매우 어렵습니다. Block Harbor의 창립자이자 CEO인 Brandon Barry는 이렇게 말합니다. 프로세스 전반에 걸쳐 수많은 체크리스트를 통해 차량 보안을 위한 올바른 엔지니어링 노력을 수행했음을 입증하는 수많은 문서가 생성되었습니다. “이 모든 일은 회사의 비즈니스 모델이 붕괴되는 동안 일어나야 합니다. [이러한 시스템]을 사용하면 표준 및 규정에 중요한 데이터 측면에서 자동차 제조업체와 공급업체 간에 실시간 데이터를 공유할 수 있으므로 새로운 솔루션에 대한 신뢰가 다시 구축되고 신속한 업데이트가 가능해집니다.”
Block Harbor의 COO인 Murtada Hamzawy는 "도전 과제 중 하나는 이러한 비즈니스 과제를 극복하는 동안 새로운 수준의 신뢰가 필요하다는 것입니다."라고 설명합니다. 이전보다 더. 모든 당사자가 적절한 테스트가 이루어졌는지 실시간으로 확인할 수 있는 플랫폼을 보유하면 신뢰 관계를 신속하게 보장하는 데 도움이 됩니다.”
더 큰 생태계에는 사이버 보안에 대한 신뢰를 구축하기 위해 설계, 테스트 및 개선 사항이 설치 및 유지 관리되는 공공 및 민간 모두의 많은 참여자가 있었습니다.
필요한 신뢰와 불신이 동시에 존재한다고 상상해 보십시오. 알려진 공격에 대한 정보를 공유하는 것에 대한 신뢰와, 시장에서 승리하기 위해 다른 플레이어가 실수로(또는 의도적으로) 보안 정보를 공유하거나, 새로운 규정을 부과하거나, 공유 데이터를 악의적으로 사용하지 않을 것이라는 불신이 필요합니다.