De Britse cyberbeveiligingsrichtlijnen voor verbonden voertuigen zijn niet saai, maar er is veel meer informatie nodig

Dit begon als een recensie van een publicatie van de Britse regering met de titel "The Key Principles of Cyber ​​Security for Connected and Automated Vehicles, ” woorden die overkwamen als saaie ambtenarentaal.

Vergeet dat maar, zegt freelance IoT-schrijver Bob Emmerson:het is allesbehalve saai. Dit document is kort, 18 pagina's; goed geschreven, gemakkelijk te lezen; en boordevol pittige richtlijnen die even goed van toepassing zijn op andere industriële sectoren.

Het werkt goed als inleiding tot cyberbeveiliging, maar voor iedereen met serieuze interesse in het onderwerp kwam het wat oppervlakkig over. Er zijn zeven pagina's met mooi gemaakte lijntekeningen van auto-onderdelen die niet echt iets toevoegen.

Ze hadden kunnen en moeten worden gebruikt om meer inhoud over belangrijke onderwerpen te bieden zonder in zware technische details te vervallen. Onderwerpen als veilige authenticatie, het gebruik van op standaarden gebaseerde bewezen technologieën en oplossingen die gebruikmaken van digitale certificaten om het hoogste beveiligingsniveau te bieden. Soortgelijke opmerkingen kwamen van specialisten in de branche.

Gary McGraw, VP beveiligingstechnologie bij Synopsys heeft gereageerd: “ Rekenen op een regering om autonome voertuigen te reguleren, zal waarschijnlijk niet al te vruchtbaar zijn, vooral als het gaat om veiligheid. Privacyregelgeving in Europa (en het VK) kan een betere impact hebben. Gelukkig voeren fabrikanten een tandje bij en werken ze ijverig aan beveiliging. Bij bedrijven als Synopsys hebben ze veel meer kans om dit goed te krijgen zonder dat de overheid erbij betrokken is.”

Er waren ook twijfels van Leigh-Anne Galloway, Cyber ​​Security Resilience lead bij Positive Technologies :“De voorgestelde kernprincipes klinken redelijk, maar we betwijfelen of het voldoende is om veiligheid te bieden als het om echte technologie gaat. Het meest twijfelachtige principe is het laatste, namelijk dat het systeem 'gepast moet reageren als zijn verdediging of sensoren falen'. Als de sensoren niet hebben gefaald maar gecompromitteerd zijn, kunnen ze verkeerde gegevens leveren en mensenlevens in gevaar brengen.”

“Een ander principe dat moeilijk in de praktijk te brengen is, is het principe ‘alle organisaties, inclusief onderaannemers, leveranciers en potentiële derde partijen (zouden) moeten samenwerken om de beveiliging van het systeem te verbeteren’. Hoewel we het eens zijn met deze richtlijn, bewijzen enkele van de recente IoT-incidenten dat dit concept nauwelijks mogelijk is. Telecomproviders zijn niet op de hoogte van de kwetsbaarheden in hun routers die ergens in China zijn gemaakt. Bewakers weten niets van de achterdeuren van de bewakingscamera's die ze gebruiken, "voegde Galloway eraan toe.

Ilia Kolochenko, CEO van webbeveiligingsbedrijf, High-Tech Bridge zei:“Dit is een zeer positief teken en een lovenswaardige inspanning die de regering uiteindelijk heeft ondernomen. Connected cars, en de IoT-industrie in het algemeen, hebben overheidsregulering en handhaving van strikte beveiligingsnormen nodig.

“We hebben echter veel meer gedetailleerde praktische richtlijnen nodig met bijdragen van vooraanstaande cyberbeveiligingsexperts, praktijkmensen en onderzoekers, niet alleen een reeks algemene best practices. Bovendien moet een overtreding van de richtlijnen streng worden bestraft, anders zullen autoverkopers, en vooral hun leveranciers, ze waarschijnlijk negeren,” concludeerde Kolochenko.

Klik hier om deze publicatie te downloaden.

De auteur van deze blog is Bob Emmerson, freelance schrijver en waarnemer in de telecomsector