0
0
Você provavelmente já ouviu esta frase mais do que algumas vezes até agora: toda empresa hoje é uma empresa de software. Superficialmente, é fácil conectar alguns pontos e entender por que essa frase soa verdadeira. A transformação digital está, literalmente, mudando todos os aspectos do nosso mundo para que ele esteja de alguma forma conectado digitalmente. Por exemplo, em vez de ir a um banco para descontar um cheque, seu banco agora tem um aplicativo em seu telefone para fazer isso.
Independentemente do setor, toda organização hoje deve ser uma empresa de software. Na frente voltada para o cliente, isso geralmente significa um aplicativo acessível, fácil de usar e de alta qualidade. Mas o que isso significa para as próprias organizações? A indústria automotiva está oferecendo algumas lições surpreendentes e úteis sobre a profundidade com que todos os setores e empresas estão adotando o software como parte dos negócios diários e por que a segurança cibernética está diretamente ligada a isso.
A evolução do software da indústria automotiva
Como qualquer outra indústria, a indústria automotiva vem evoluindo e adotando novas tecnologias. Nas últimas décadas, construir um carro deixou de ser quase inteiramente focado em hardware para adicionar uma frota completa de recursos de software. A maioria dos carros modernos tem recursos que não existiam há 20 anos, incluindo:
● Sistemas de informação e entretenimento com assistentes de voz, conectividade para navegação e serviços de streaming
● Sensores para auxiliar na direção segura ou, em alguns casos, recursos completos de direção autônoma
Para isso, fabricantes de automóveis que já existem há décadas tiveram que se adaptar, investindo na adição de uma divisão inteira dedicada ao desenvolvimento de software. Por exemplo, a Volkswagen criou a Cariad, sua empresa interna de software, que emprega 5.000 engenheiros de software e faz da Volkswagen uma das maiores empresas de software da Alemanha.
O pivô rápido que muitos fabricantes fizeram para carros “inteligentes” modernos é impressionante. Mas também trouxe riscos e responsabilidades adicionais . Tradicionalmente, os regulamentos e padrões de segurança da indústria automotiva têm se concentrado na segurança funcional, como a ISO 26262 , que aborda a conformidade de sistemas relacionados à segurança que incluem componentes elétricos ou eletrônicos. Mas com o software adicionado à mistura do que compõe os veículos de hoje, os padrões da indústria precisaram evoluir.
Os padrões de segurança cibernética automotiva estão aumentando
Onde quer que o software exista, também existe o risco de um incidente relacionado à segurança cibernética . Quando desenvolvemos o conceito de um carro de quatro rodas e um motor para incluir entretenimento, conectividade e assim por diante, aceitamos o aumento do risco. E, como acontece com o software usado em qualquer outro tipo de negócio, as vulnerabilidades, riscos e hacks de segurança cibernética estão aumentando. Em dezembro, um serviço de veículos conectados por rádio Sirius XM expôs várias marcas de automóveis a ataques remotos de hackers devido a uma vulnerabilidade. O serviço conectado é usado atualmente por mais de 12 milhões de carros na América do Norte, incluindo Acura, BMW, Honda, Hyundai e Toyota.
A Organização Internacional de Padronização está abordando a composição de carros modernos com ISO/ SAE 21434:2021 . O padrão inclui requisitos de engenharia para gerenciamento de riscos de segurança cibernética, desde o conceito até o desenvolvimento, produção, operação e manutenção. Atualmente, apenas o software que está em conformidade com esse padrão ISO pode ser incorporado aos carros.
Lições aprendidas
A princípio, os desenvolvedores automotivos podem ficar apreensivos com o fato de que esses requisitos adicionais de segurança cibernética possam ser um ponto problemático que retardaria a produção e o envio de seu software. Afinal, é outro ponto de responsabilidade adicionado à descrição do trabalho e para o qual eles provavelmente não se inscreveram.
Felizmente, as ferramentas modernas de segurança cibernética estão permitindo que os testes de segurança se encaixem no ciclo de vida de desenvolvimento de software (SDLC). Uma variedade de abordagens para verificação de segurança, incluindo teste de segurança de aplicativo estático (SAST), teste de segurança de aplicativo dinâmico (DAST) e teste de segurança de aplicativo baseado em feedback, podem ser usados juntos para testar aplicativos com eficácia quanto a vulnerabilidades e bugs enquanto um aplicativo ainda está em uso. desenvolvimento.
O que os desenvolvedores automotivos aprenderam por meio desse processo é que, ao contrário de seus temores iniciais de que o desenvolvimento fosse retardado por requisitos adicionais de segurança cibernética, uma vez que a varredura de segurança está funcionando em seu processo de desenvolvimento de integração contínua/entrega contínua (CI/CD), o pipeline é mais rápido e mais eficiente do que antes. Como bugs e falhas são descobertos cada vez mais cedo no desenvolvimento, eles são corrigidos antes de chegarem à produção. Isso economiza custos e tempo tradicionalmente associados a voltar mais tarde para corrigir esses problemas. Quanto mais um bug ou falha avança no ciclo de vida do desenvolvimento de software, mais custa para consertar e, é claro, se chegar à produção, mais vulnerável o software fica a um possível ataque de segurança cibernética.
Cibersegurança: uma vantagem competitiva
A indústria automotiva é apenas um dos muitos setores que estão vendo padrões ISO adicionados com foco na segurança cibernética. Saúde, aviação, energia, finanças e muitos outros estão acompanhando ou seguindo de perto seus próprios padrões de segurança cibernética, à medida que o software se torna um componente cada vez mais crítico em todas as partes do mundo. Todas as organizações precisam estar preparadas para priorizar e implementar recursos de segurança cibernética (se ainda não o fizeram). Eles também precisam ter desenvolvedores com experiência e conhecimento necessários para entender que, quando implementados corretamente, os testes de segurança podem melhorar a velocidade do desenvolvimento e a qualidade geral e a segurança do software.
FONTE: DARK READING