“Putin es un idiota. Gloria a Ucrania."
Eso es lo que leen los cargadores de vehículos eléctricos pirateados, entre otras cosas, en estaciones de carga deshabilitadas cerca de Moscú recientemente. Y por mucho que traiga una sonrisa a los rostros de muchas personas en todo el mundo, destaca un punto hecho por varios investigadores y desarrolladores que se reunieron la semana pasada en escar 2022 (una conferencia que se enfoca en desarrollos técnicos profundos en ciberseguridad automotriz cada año): los hacks automotrices están en aumento. De hecho, por Informe de Upstream Automotive, la frecuencia de los ataques cibernéticos ha aumentado un 225 % de 2018 a 2021, con un 85 % realizado de forma remota y un 54.1 % de los ataques de 2021 como atacantes “Black Hat” (también conocidos como maliciosos).
En medio de escuchar varios informes del mundo real en esta conferencia, algunas cosas se hicieron evidentes: hay buenas noticias y malas noticias basadas en el enfoque siempre requerido en esta área crítica.
Las malas noticias
En sus términos más simples, la mala noticia es que los avances tecnológicos solo aumentan la probabilidad de que ocurran los eventos del primer día. “Los vehículos eléctricos están creando más tecnología, lo que significa que hay más amenazas y superficies de amenazas”, afirmó Jay Johnson, investigador principal de Sandia National Laboratories. “Ya hay 46,500 2021 cargadores disponibles a partir de 2030, y para 600,000 la demanda del mercado sugiere que habrá aproximadamente XNUMX XNUMX”. Johnson pasó a delinear las cuatro interfaces principales de interés y un subconjunto preliminar de vulnerabilidades identificadas junto con recomendaciones, pero el mensaje fue claro: debe haber un "llamado a las armas" continuo. Esa, sugiere, es la única forma de evitar cosas como los ataques de denegación de servicio (DoS) en Moscú. “Los investigadores continúan identificando nuevas vulnerabilidades”, afirma Johnson, “y realmente necesitamos un enfoque integral para compartir información sobre anomalías, vulnerabilidades y estrategias de respuesta para evitar ataques coordinados y generalizados a la infraestructura”.
Los coches eléctricos y sus estaciones de carga asociadas no son las únicas nuevas tecnologías y amenazas. El "vehículo definido por software" es una plataforma arquitectónica seminueva (*posiblemente empleada hace más de 15 años por General Motors
Allí, parte de lo que se discutió en escar fue la mala-buena-noticia (dependiendo de su perspectiva) de la Reglamento de la CEPE entrará en vigor esta semana para todos los tipos de vehículos nuevos: los fabricantes deben mostrar un Sistema de Gestión de Ciberseguridad (CSMS) y un Sistema de Gestión de Actualización de Software (SUMS) robustos para que los vehículos sean certificados para la venta en Europa, Japón y, finalmente, Corea. “Prepararse para estas certificaciones no es un esfuerzo menor”, afirma Thomas Liedtke, especialista en ciberseguridad también de Kugler Maag Cie.
La Buena Noticia
En primer lugar, la mejor noticia es que las empresas han escuchado el grito de guerra y han comenzado mínimamente a inculcar el rigor necesario para combatir a los enemigos Black Hat antes mencionados. “En 2020-2022, hemos visto un aumento en las corporaciones que desean realizar un Análisis de amenazas y evaluación de riesgos o TAR
Y todo este análisis y rigor inicialmente parece estar surtiendo efecto. Según un informe proporcionado por Samantha ("Sam") Isabelle Beaumont de IOActive, solo el 12 % de las vulnerabilidades encontradas en sus pruebas de penetración de 2022 se consideraron "Impacto crítico" frente al 25 % en 2016, y solo el 1 % fueron "Probabilidad crítica" frente a 7% en 2016. “Estamos viendo que las estrategias actuales de remediación de riesgos comienzan a dar sus frutos”, afirma Beaumont. “La industria está mejorando en la construcción mejor”.
¿Significa eso que la industria está acabada? Ciertamente no. “Todo esto es un proceso continuo de endurecimiento de los diseños contra los ataques cibernéticos en evolución”, sugiere Johnson.
Mientras tanto, celebraré la última buena noticia que obtuve: los piratas informáticos rusos están ocupados pirateando activos rusos en lugar de mi feed de redes sociales.
Fuente: https://www.forbes.com/sites/stevetengler/2022/06/28/cybersecurity-risks-protecting-the-electric-and-software-defined-car/