A Medida que aumentan los Desafíos de Ciberseguridad Automotriz, Ansys Ofrece una Solución Práctica

La  Conferencia de seguridad digital de Ansys 2022 mostró muchos temas que son importantes para los ingenieros de seguridad. Uno de los desafíos más urgentes es la creciente necesidad de adoptar e implementar protocolos sólidos de ciberseguridad, especialmente en aplicaciones de misión crítica como los automóviles.

Hay una buena razón por la que la industria automotriz mundial se centra en lograr una ciberseguridad sin concesiones, comenzando desde las primeras etapas del desarrollo de productos. Después de que un artículo histórico publicado en Wired en 2015 demostrara cómo los piratas informáticos podían tomar el control de un Jeep Cherokee que viajaba a 70 millas por hora, Chrysler se vio obligada a retirar 1,4 millones de automóviles, y la comunidad automotriz mundial se dio cuenta, aumentando sus inversiones en ciberseguridad. En 2019, un pirata informático tomó con éxito el control de 27.000 automóviles a través de sus dispositivos GPS, lo que le permitió detener sus motores mientras estaban en funcionamiento.

La cantidad cada vez mayor de software en los automóviles y sus mayores niveles de autonomía y conectividad han hecho que los automóviles sean aún más vulnerables a los ciberataques. El automóvil típico de hoy cuenta con más de 30.000 componentes de hardware, más de 100 ECU y más de 100 millones de líneas de código de software, lo que dificulta identificar y eliminar todas las fuentes de vulnerabilidad. 3 Con la reciente incorporación de actualizaciones automáticas de software inalámbricas (OTA), hay más canales que nunca a través de los cuales acceder a un vehículo.

Es fácil ver por qué los fabricantes de automóviles y sus proveedores están aumentando constantemente sus inversiones en soluciones de ciberseguridad y procesos asociados. Según un estudio de McKinsey, el mercado mundial de ciberseguridad automotriz crecerá de 4.900 millones de dólares en 2020 a 9.700 millones de dólares en 2030, lo que refleja una tasa de crecimiento anual de más del 7%. 4

Para ayudar a garantizar la seguridad de los automóviles del mundo, los reguladores automotrices han introducido estándares industriales que los fabricantes de automóviles deben cumplir. Desde 2011, la norma ISO 26262 regula la seguridad funcional de la electrónica de los vehículos y el código de software subyacente. A este estándar de seguridad de la industria se unió en agosto de 2021 la ISO 21434, que garantiza que el software automotriz también se diseñe y ejecute teniendo en cuenta la ciberseguridad.

Cumplir con los requisitos de ISO 21434 significa que los fabricantes de automóviles y sus proveedores deben establecer roles, responsabilidades y un proceso claros para identificar y abordar los problemas de ciberseguridad. También deben documentar todos los pasos del proceso y presentar esa documentación para obtener la certificación ISO 21434, lo que se está convirtiendo en un costo para hacer negocios a medida que la industria automotriz mundial busca minimizar la exposición cibernética. 

Los equipos de desarrollo de productos, que ya tenían la tarea de diseñar un gran volumen de módulos de software y crear arquitecturas a nivel de sistema, ahora tienen la tarea de modelar cada interfaz, control y conexión; identificar y evaluar niveles de riesgo; y garantizar que el vehículo y sus sistemas sean completamente inmunes a los ciberataques.

La mayoría de las empresas carecen del tiempo, el dinero, la experiencia especializada y otros recursos para crear y gestionar dicho proceso desde cero. Los procesos manuales y las herramientas de nivel comercial, como las hojas de cálculo, simplemente no están a la altura del desafío. Afortunadamente, Ansys ofrece una solución que no sólo está a la altura de este desafío, sino que está diseñada específicamente para ello.

Ansys medini analyse for Cybersecurity es una solución de modelado especializada que agiliza y acelera la compleja tarea de generar y verificar una arquitectura a nivel de sistema cohesiva, segura y resistente a ataques externos. Reemplaza procesos manuales obsoletos, laboriosos y propensos a errores con una solución personalizada diseñada específicamente para organizar y facilitar el análisis de ciberseguridad de sistemas eléctricos altamente complejos.

En la Conferencia de seguridad digital Ansys de 2022, Timo Bruderek, ingeniero de ciberseguridad de Webasto , describió el valor en el mundo real de utilizar Medini Analyse para gestionar la compleja tarea de identificación y mitigación de riesgos. El proveedor global de sistemas con sede en Alemania se encuentra entre los 100 principales proveedores de la industria automotriz en todo el mundo. La cartera de productos de la empresa comprende sistemas de techo desarrollados internamente y sistemas de calefacción y refrigeración para diversos tipos de vehículos, baterías y soluciones de carga para vehículos híbridos y eléctricos, y servicios complementarios relacionados con la gestión térmica y la electromovilidad. Con 3.700 millones de euros en ventas anuales y 30 sitios de producción en todo el mundo, Webasto necesita garantizar que sus diversos productos se integren de forma segura en una gama de diferentes sistemas de clientes.

“¿Cuáles son los desafíos diarios en mi vida diaria como ingeniero de ciberseguridad? La tarea más importante es desarrollar productos seguros”, afirma Bruderek. “Eso significa comprender y cumplir todos los requisitos, incluida la norma ISO 21434, así como las necesidades individuales de los clientes. Significa establecer un flujo de trabajo guiado que defina responsabilidades, garantice un análisis completo de todos los factores y riesgos de seguridad y maximice la velocidad y la eficiencia. Para nosotros, Ansys Medini Analyse for Cybersecurity representa la mejor manera de realizar todas esas tareas a través de una única herramienta”.

Timo describió un proceso de seis pasos que su equipo en Webasto sigue en su trabajo diario, guiado por medini analyse for Cybersecurity:

1. Definir los activos de ciberseguridad y las “partes interesadas”. En primer lugar, Medini Analyse lleva a los ingenieros a definir el sistema o componente que se está investigando (por ejemplo, una batería para un vehículo eléctrico). También analiza cómo este activo se conecta con otros sistemas en la arquitectura electrónica general.
2. Identificar las vulnerabilidades y el potencial de daño. A continuación, Medini Analyse guía a los usuarios a través de un análisis de cómo estos activos podrían ser atacados y cuáles podrían ser los posibles daños. Las interfaces y los puntos de integración son objetivos típicos.
3. Comprender las consecuencias de un ataque. Luego, Medini Analyse guía al equipo de ingeniería a través de un análisis de los posibles resultados si estas vulnerabilidades se explotan tanto a nivel del sistema como de los componentes.
4. Estime la probabilidad potencial. ¿Qué experiencia, herramientas y ventanas de oportunidad se necesitan para capitalizar la vulnerabilidad? ¿Qué tan realista es el escenario del ataque? Ansys medini analyse ofrece respuestas concretas.
5. Definir un nivel de riesgo. Ansys Medini analiza la amenaza calculando tanto la probabilidad de un ataque como sus daños potenciales. Los ingenieros pueden comprender la gravedad de cada riesgo.
6. Planificar y ejecutar medidas adecuadas de ciberseguridad . ¿Qué acción es necesaria para eliminar el riesgo? El análisis de Ansys medini ayuda al equipo a llegar a una conclusión rápida, sin importar cuán complejo sea el sistema.

Siguiendo este proceso de seis pasos, Medini Analyse for Cybersecurity genera automáticamente la documentación requerida tanto por los grupos reguladores como por los clientes del sector automovilístico. Debido a que esta solución fue desarrollada por expertos que comprenden las complejidades regulatorias de ISO 21434, se garantiza el cumplimiento de esa norma.

El cibercrimen en el sector del automóvil no va a ninguna parte. De hecho, está aumentando a medida que los automóviles se vuelven más digitales, más conectados y más automatizados, creando más puntos de ataque. Pero Ansys ha creado una solución de modelado sólida y fácil de usar que permite a los equipos de desarrollo de productos identificar rápidamente vulnerabilidades y debilidades de diseño para luego abordarlas.

Según Timo, Medini Analyse for Cybersecurity es una solución práctica que realmente añade valor. “Se integra bien con nuestras otras herramientas y sistemas. Gestiona los requisitos reglamentarios y de los clientes y se asegura de que se tengan en cuenta. Guía a nuestro equipo a través del proceso. Aprovecha la automatización para que podamos trabajar de forma más rápida y eficaz. Y nos permite reutilizar análisis de ciberseguridad anteriores, por lo que no comenzamos desde cero cada vez que agregamos una nueva característica del producto o presentamos un nuevo modelo”.

En el desafiante entorno de ciberseguridad actual, los primeros en adoptar soluciones innovadoras de desarrollo de productos, junto con flujos de trabajo de mejores prácticas, pueden asumir una ventaja competitiva significativa. Medini Analyse for Cybersecurity, que ya lo utilizan Webasto y otros líderes de la industria, es una opción obvia para los equipos de ingeniería electrónica que buscan aumentar su enfoque en el análisis de ciberseguridad.