Die britischen Cybersicherheitsrichtlinien für vernetzte Fahrzeuge sind nicht langweilig, aber es werden viel mehr Informationen benötigt

Bob Emmerson

Dies begann als Überprüfung einer Veröffentlichung der britischen Regierung mit dem Titel „Die Schlüsselprinzipien der Cybersicherheit für vernetzte und automatisierte Fahrzeuge . ” Wörter, die als langweilige Beamtensprache rüberkamen.

Vergessen Sie das, sagt der freiberufliche IoT-Autor Bob Emmerson:Es ist alles andere als langweilig. Dieses Dokument ist kurz, 18 Seiten; gut geschrieben, leicht zu lesen; und vollgepackt mit schlagkräftigen Richtlinien, die ebenso gut auf andere Industriezweige zutreffen.

Es funktioniert gut als Einführung in die Cybersicherheit, aber für jeden, der sich ernsthaft für das Thema interessiert, wirkt es etwas oberflächlich. Es gibt sieben Seiten mit schön gestalteten Strichzeichnungen von Autoteilen, die nicht wirklich etwas hinzufügen.

Sie hätten verwendet werden können und sollten verwendet werden, um mehr Inhalte zu wichtigen Themen bereitzustellen, ohne ins technische Detail zu fallen. Themen wie sichere Authentifizierung, Verwendung von auf Standards basierenden bewährten Technologien und Lösungen, die digitale Zertifikate nutzen, um ein Höchstmaß an Sicherheit zu bieten. Ähnliche Kommentare kamen von Spezialisten der Branche.

Gary McGraw, VP of Security Technology bei Synopsys kommentiert: “ Sich darauf zu verlassen, dass eine Regierung autonome Fahrzeuge reguliert, wird wahrscheinlich nicht allzu fruchtbar sein, insbesondere wenn es um die Sicherheit geht. Datenschutzbestimmungen in Europa (und Großbritannien) können einen besseren Einfluss haben. Glücklicherweise sind die Hersteller dabei und arbeiten fleißig an der Sicherheit. Bei Unternehmen wie Synopsys werden sie dies viel wahrscheinlicher richtig machen, ohne dass die Regierung involviert ist.“

Zweifel gab es auch von Leigh-Anne Galloway, Leiterin Cyber ​​Security Resilience bei Positive Technologies :„Die vorgeschlagenen Schlüsselprinzipien klingen vernünftig, aber wir bezweifeln, dass sie ausreichen, um Sicherheit zu bieten, wenn es um echte Technologie geht. Das zweifelhafteste Prinzip ist das letzte, das besagt, dass das System „angemessen reagieren sollte, wenn seine Abwehr oder Sensoren versagen“. Wenn die Sensoren nicht ausgefallen, sondern kompromittiert sind, können sie falsche Daten liefern und Menschenleben gefährden.“

„Ein weiterer Grundsatz, der schwer in die Praxis umzusetzen wäre, ist der, dass alle Organisationen, einschließlich Unterauftragnehmer, Lieferanten und potenzielle Dritte zusammenarbeiten (sollten), um die Sicherheit des Systems zu verbessern“. Obwohl wir dieser Richtlinie zustimmen, zeigen einige der jüngsten IoT-Vorfälle, dass dieses Konzept kaum möglich ist. Telekommunikationsanbieter wissen nichts über die Schwachstellen in ihren Routern, die irgendwo in China hergestellt werden. Sicherheitsbeamte wissen nichts von den Hintertüren der von ihnen verwendeten Überwachungskameras“, fügte Galloway hinzu.

Ilia Kolochenko, CEO des Websicherheitsunternehmens, High-Tech Bridge sagte:„Dies ist ein sehr positives Zeichen und eine lobenswerte Anstrengung, die endlich von der Regierung unternommen wurde. Vernetzte Autos und die IoT-Branche im Allgemeinen benötigen staatliche Regulierung und die Durchsetzung strenger Sicherheitsstandards.

„Wir brauchen jedoch viel detailliertere praktische Leitlinien mit Beiträgen führender Cybersicherheitsexperten, Praktiker und Forscher, nicht nur eine Reihe von verallgemeinerten Best Practices. Darüber hinaus muss ein Verstoß gegen die Richtlinien hart geahndet werden, sonst werden Autoverkäufer und insbesondere ihre Zulieferer sie wahrscheinlich ignorieren“, schloss Kolochenko.

Um diese Publikation zu erhalten, klicken Sie hier.

Der Autor dieses Blogs ist Bob Emmerson, freiberuflicher Autor und Beobachter der Telekommunikationsbranche