otohaber_logo
Haberler
Otomotivde siber güvenli bir geleceğe doğru beş adım
Otomotivde siber güvenli bir geleceğe doğru beş adım
Otomotivde siber güvenli bir geleceğe doğru beş adımElektrikli araçların yaygınlaşmasıyla birlikte, artık sürücü koltuğunda oturmaya devam ederken size yardımcı olmak üzere tasarlanmış pek çok hizmet var. Park yeri, dolum veya şarj istasyonu hizmetleri için çevrimiçi ödeme yapmak gibi. Bu olanakları sağlamak için, otomobillerin konumunuzdan kişisel verilerinize ve banka hesap bilgilerinize kadar çok sayıda bilgiyi toplaması ve saklaması gerekiyor. Modern otomobiller düzgün çalışabilmek için destekleyici altyapıya, sürücü ve yolcu cihazlarına bağlı. İnternet kullanımı bu süreçlerin vazgeçilmezi konumunda. Bu da siber suçluların güvenlik açıklarından faydalanabileceği ve çeşitli siber güvenlik risklerine yol açabileceği anlamına geliyor.


Bu işin sonuçları kişisel veya finansal verilerin çalınmasından direksiyon gibi önemli araç kontrollerinin ele geçirilmesine, sürüş sırasında öngörülemeyen araç davranışlarına, aracın kilitlenmesine ve hatta araç hırsızlığına kadar uzanan bir dizi risk içeriyor. Dolayısıyla sonuçları da son derece büyük zararlara sebep olma potansiyeline sahip. Başarılı bir saldırı sürücüler, yolcular ve yayalar için tehlikeli olabileceği gibi filo operatörlerini, otomobil üreticilerini, tedarikçileri, distribütörleri, sigorta şirketlerini ve finans kurumlarını da etkileyebilir.


Otomotiv endüstrisindeki siber güvenlik sorunları bugünlerde o kadar önemli hale geldi ki, uluslararası kuruluşlar bu konuda ihtiyaç duyulan gereksinimler ve sertifikalar konusunu aktif olarak tartışmaya açıyor. Örneğin, otomotiv endüstrisinde siber güvenlik ve siber güvenlik yönetim sistemlerine ilişkin hükümler hakkındaki 155 sayılı Birleşmiş Milletler Yönetmeliği, 2021 yılında Birleşmiş Milletler Avrupa Ekonomik Komisyonu (UNECE) tarafından kabul edildi. UNECE ayrıca, otomotiv sistemlerine yüklenen ürün yazılımı ve uygulamaların güncellenmesi süreci için güvenlik gereksinimlerini öngören 156 sayılı BM yönetmeliğini de kabul etti. Buna ek olarak, uluslararası standartlar ISO/SAE 21434 ve ISO 24089, kuruluşların BM düzenlemeleriyle uyum sağlamak için uygulayabilecekleri belirli önlemleri tanımlıyor ve ana hatlarını çiziyor.


Temmuz 2024'ten itibaren BM düzenlemeleri, üretilen tüm yeni araçlar için zorunlu hale gelecek. Yani, araç ve araç bileşenleri için tip onaylarının karşılıklı olarak tanınmasını sağlayan 1958 Anlaşmasına katılan üye ülkelerin pazarlarında ürünlerini satabilmek için, otomobil üreticilerinin bu gerekliliklere olan uygunluğu sağlamaları ve sertifikasyondan geçmeleri gerekiyor. Bununla birlikte, UN R 155 ve UN R 156 ile uyumluluğa ilişkin kapsamlı tavsiyeler ve teknik düzenlemeler henüz ulusal düzenleyiciler tarafından yayınlanmadığından, uyumluluğu sağlama süreci birçok üretici açısından zorlayıcı olabilir.


Gerekliliklere uyumluluğu sadece "kağıt üzerinde güvenlik" haline getirmekten kaçınmak, bunun yerine otomotiv sektöründeki araçların ve işletmelerin siber güvenliğini pratikte iyileştirmek için aşağıdaki beş adım, siber güvenlik gerekliliklerini uygulamaya yönelik strateji geliştiren otomobil üreticileri için yararlı olacaktır:

#1. BT altyapınızın siber güvenliğini sağlayın

Kuruluşunuzun Bilgi ve İletişim Teknolojileri altyapısının siber saldırılara karşı korunduğundan emin olun. Bu, ofis ağını ve uç noktaları korumak için güvenlik çözümlerinin kullanıldığından emin olmanın temel noktasıdır. Bu adım atlanırsa, daha sonra geri dönmek çok zor olacaktır. Devreye alınan süreçleri düzeltmek, sıfırdan güvenli süreçler oluşturmaktan çok daha zordur. Bir şirketin BT altyapısını güvence altına almak için benimsemesi gereken spesifik güvenlik uygulamaları, şirketin olgunluğuna ve ölçeğine bağlıdır. Ayrıca, BT altyapınızın siber güvenliğini sağlamanın tek seferlik bir eylem değil, sürekli bir yolculuk olması gerektiğini lütfen unutmayın.


#2 Şirket çapında bir siber güvenlik yönetim sistemi oluşturun ve uygulayın

Araç geliştirme, üretim ve üretim sonrası faaliyetler için geçerli olan bir siber güvenlik yönetim sistemi kurmak için rasyonel bir yaklaşım kullanmak esastır. Bu nedenle kuruluşunuzun siber güvenlik politikasını geliştirin ve araç geliştirme ve üretim sürecine yönelik potansiyel tehditleri dikkate alarak şirket düzeyinde ana siber güvenlik hedeflerini tanımlayın.

Bir kuruluş sadece çevresini ve varlıklarını korumakla kalmamalı, aynı zamanda araçla ilgili siber güvenlik risklerinin tanımlanması, değerlendirilmesi, sınıflandırılması ve ele alınması için kullanılan süreçleri de uygulamalı ve sürdürmelidir. Siber güvenlik izleme ve olay müdahale prosedürleri, araçla ilgili tehditleri ve araç türlerine yönelik siber saldırıları dikkate almalıdır. Bunun da ötesinde, otomobil üreticileri araçlar ve araç bileşenleri için siber güvenlik test prosedürleri oluşturmalıdır.

Elbette ki kuruluşunuzun çalışanları da, otomobil üreticilerine ve ürettikleri araçlara yönelik yaygın tehditler ve saldırılar üzerinde duran bir siber güvenlik kültürü ve farkındalık programının parçası olarak eğitilmeli ve bilgilendirilmelidir.

Sadece belirtilen tüm noktaların kapsanması halinde uygun ve uyumlu bir siber güvenlik yönetim sistemi uygulanabilir.


#3 Kalkınma projesi için siber güvenlik planınızı geliştirin

Siber güvenlik planı, otomotiv geliştirme projesinde siber güvenlik faaliyetlerinin planlanması ve yürütülmesini açıklayan temel bir belgedir. Siber güvenlik faaliyetlerini ve bunların diğer faaliyetlere olan bağımlılıklarını listeler. Sorumlu personeli, gerekli kaynakları, maliyetleri, zaman çizelgelerini ve sonuçları tanımlar. Bir siber güvenlik planı genel proje planına (veya diğer plan ve belgelere) referans verebilir veya basitçe bu tür bir proje planının bir parçası olabilir.

Plan, siber güvenlik faaliyetlerini ayrılmaz bir şekilde geliştirme sürecine bağlar ve araç veya bileşenin yaşam döngüsü boyunca siber güvenlik uygulamasını izlemek için mükemmel bir kaynak sağlar. Proje yönetimi açısından bakıldığında, siber güvenlik tamamen silolara ayrılmış bir alan olarak görülemez ve diğer proje unsurlarından ayrı olarak ele alınamaz.


#4 Destekleyici altyapıları ve harici hizmetleri güven altına alın

Güvenli bir aracın geliştirilmesi üzerinde çalışırken, yalnızca "içinin" siber güvenliğine değil, aynı zamanda destekleyici altyapıya dikkat etmek de önemlidir. Bu, otomobilin etrafındaki her türden ekosistemi simgeler: Şarj istasyonu, harici hizmetler ve hizmet sağlayıcıların altyapısı, veri bulutları gibi. Geliştirme için gereksinimleri tanımlarken, harici hizmetler için de gereksinimleri listelemeyi ve bunları sözleşmenin sonunda belirlemeyi unutmayın. Hizmet sağlayıcı, hizmetinin gerekli güvenliğini sağlayamıyorsa ve bu sağlayıcıyı hariç tutmanın bir yolu yoksa, otomobil üreticisinin kendi tarafında uygulamaya hazır olacağı ek güvenlik önlemlerini sürece dahil etmek gerekir.


#5 Proje yaşam döngüsünün ilgili siber güvenlik gereksinimlerini karşıladığından emin olun

Konsept aşaması ve güvenli geliştirmeden, aracın hizmetten çıkarılması ve araç bileşenlerinin yeniden kullanımına kadar, araç yaşam döngüsündeki her aşama (faz) siber güvenlik gereksinimlerine uygun olmalıdır. Sonuç olarak, aracın yaşam döngüsünün tüm aşamaları için gereksinimleri formüle etme süreci bir zanaattan ziyade bir sanattır. Süreci çok fazla gereklilikle aşırı yüklememek, yalnızca güvenlik hedeflerini karşılayan ve işlevsel güvenlikle çatışmayanları eklemek önemlidir. Öte yandan tedarikçiler, destekleyici altyapı ve harici hizmetlerle ilişkili olanlar da dahil olmak üzere tüm önemli riskleri dikkate almayı ve kapatmayı ihmal etmeyin.

Bu aşamada karşılaşabileceğiniz sorun, aynı zamanda sistemik bir sorun olan işgücü piyasasında bu tür kişilerin bulunmamasıdır. Bu durumda tek çözüm, kod kalitesini doğrulamak, geliştirilen ürünlerdeki güvenlik açıklarını araştırmak ve sızma testi yapmak için harici kuruluşlara başvurmaktır. Güncel Kaspersky "İnsan faktörü" raporu, her 10 şirketten 4'ünün önümüzdeki 12-18 ay içinde siber güvenlik kaynağını dışarıdan temin etmeyi planladığını ortaya koydu.


Üçüncü parti siber güvenlik hizmetleri, kuruluşunuzun siber güvenlik durumunu değerlendirebilir ve müşterinin Siber Güvenlik Yönetim Sistemini uyumlu hale getirmeye yardımcı olacak bir yol haritası geliştirebilir. Hatta çalışanlarınızın güvenli uygulamalar konusunda eğitilmesine de yardımcı olabilir. Buları gereksiz maliyetler olarak görmeyin. Gerçekte yaşanacak bir siber saldırıdan bütçenizi ve itibarınızı korumak, dış uzmanların yardımıyla siber güvenlik planı hazırlamaktan ve uygulamaktan çok daha fazla çaba ve para gerektirecektir.
En önemlisi de her gün yeni tehditlerin ortaya çıktığını unutmayın. Bu nedenle, siber güvenlik ekibiniz keşfedilen güvenlik açıkları ve tehdit ortamındaki değişikliklerle düzenli olarak başa çıkmalıdır.

Elbette ki özellikle otomotiv sektöründe tasarım, geliştirme ve üretimde siber güvenliği sağlamak zorlu bir çaba olabilir. Ancak, siber güvenlik uygulamalarının hayata geçirilmesinin geliştirme aşamasının ortasında bir yerde, bir sprint değil, aracın yaşam döngüsü boyunca (hatta daha uzun süre) süren ve mantıklı bir strateji gerektiren bir maraton olduğu anlayışıyla işe başlamanızı öneririz.

Maraton başlamadan önce parkurun bir yol haritası (veya planı) çıkarılır ve araç üreticisinin yetkinlikleri göz önünde bulundurularak gereken minimum kaynakla kat edilecek küçük bölümlere ayrılır. Bu durumda kazanan strateji, planlamaya dengeli bir yaklaşım ve basitten karmaşığa doğru sistematik bir ilerleme şeklinde olacaktır.

UNECE yönetmeliklerinin araç üreticilerinden neler talep ettiği, bunlara uyumun nasıl sağlanacağı ve gerekirse sertifikasyon için nasıl hazırlanılacağı hakkında daha fazla bilgiyi Kaspersky ekibinin analizinde bulabilirsiniz.

Diğer Haberler

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca hazırlanmış aydınlatma metnimizi okumak ve sitemizde ilgili mevzuata uygun olarak kullanılan çerezlerle ilgili bilgi almak için lütfen tıklayınız.