Las pautas de seguridad cibernética del Reino Unido para vehículos conectados no son aburridas, pero se necesita mucha más información

Bob Emmerson

Comenzó como una revisión de una publicación del gobierno del Reino Unido titulada " Los principios clave de la seguridad cibernética para vehículos conectados y automatizados ”Palabras que parecían aburridas en el lenguaje de los funcionarios públicos.

Olvídese de eso, dice el escritor independiente de IoT, Bob Emmerson:es todo menos aburrido. Este documento es breve, 18 páginas; bien escrito, fácil de leer; y repleto de pautas contundentes que se aplican igualmente bien a otros sectores industriales.

Funciona bien como una introducción a la seguridad cibernética, pero para cualquiera que tenga un interés serio en el tema, resultó ser algo superficial. Hay siete páginas de dibujos lineales muy bien elaborados de partes y piezas automotrices que realmente no agregan nada.

Podrían y deberían haberse utilizado para proporcionar más contenido sobre temas importantes sin caer en detalles técnicos pesados. Temas como autenticación segura, uso de tecnologías probadas basadas en estándares y soluciones que aprovechan los certificados digitales para proporcionar el más alto nivel de seguridad. Los comentarios similares provienen de especialistas en la industria.

Gary McGraw, vicepresidente de tecnología de seguridad de Synopsys comentó: “ No es probable que contar con un gobierno para regular los vehículos autónomos sea demasiado fructífero, especialmente en lo que respecta a la seguridad. La regulación de la privacidad en Europa (y el Reino Unido) puede tener un mejor impacto. Afortunadamente, los fabricantes están intensificando y trabajando en seguridad con diligencia. Es mucho más probable que lo hagan bien con empresas como Synopsys sin que el gobierno se involucre en absoluto ”.

También hubo dudas de Leigh-Anne Galloway, líder de resiliencia de seguridad cibernética en Positive Technologies :“Los principios clave propuestos parecen razonables, pero dudamos que sean suficientes para brindar seguridad cuando se trata de tecnología real. El principio más dudoso es el último, que dice que el sistema debe "responder adecuadamente cuando fallan sus defensas o sensores". Si los sensores no han fallado pero están comprometidos, pueden proporcionar datos incorrectos y poner en peligro vidas humanas ”.

“Otro principio que sería difícil de poner en práctica es el que dice 'todas las organizaciones, incluidos los subcontratistas, proveedores y posibles terceros (deberían) trabajar juntos para mejorar la seguridad del sistema'. Aunque estamos de acuerdo con esta directriz, algunos de los incidentes recientes de IoT demuestran que este concepto es casi imposible. Los proveedores de telecomunicaciones no conocen las vulnerabilidades de sus enrutadores fabricados en algún lugar de China. Los guardias de seguridad no conocen las puertas traseras de las cámaras de vigilancia que usan ", agregó Galloway.

Ilia Kolochenko, directora ejecutiva de la empresa de seguridad web, High-Tech Bridge dijo:“Esta es una señal muy positiva y un esfuerzo loable finalmente emprendido por el gobierno. Los automóviles conectados, y la industria de IoT en general, necesitan una regulación gubernamental y la aplicación de estrictos estándares de seguridad.

“Sin embargo, necesitamos pautas prácticas mucho más detalladas con la contribución de los principales expertos, profesionales e investigadores en seguridad cibernética, no solo un conjunto de mejores prácticas generalizadas. Además, una violación de las directrices debe ser severamente sancionada, de lo contrario, los vendedores de automóviles, y especialmente sus proveedores, probablemente los ignorarán ”, concluyó Kolochenko.

Para obtener esta publicación, haga clic aquí.

El autor de este blog es Bob Emmerson, escritor independiente y observador de la industria de las telecomunicaciones