欢迎光临第五届中国汽车网络信息安全峰会2020!

每个车队高管必须问的四个有关网络安全的问题

发布日期:2020-03-30

GRCC IoVSecurity 今天 

手机阅读







网络安全是一项行政责任;它不能退位或盲目委托给内部部门或外部提供者。






互联车队的网络安全是**由计算机科学家和其他IT专家解决的“书呆子”话题,还是车队高管直接负有了解并确保其车队安全计划的责任?


这是我在最近在比利时布鲁塞尔举行的互联车队会议上有关互联车队的网络安全小组的开幕式提问。我有机会与该领域的两位知名专家讨论了这一问题:丹·马西(Dan Massey)博士,科罗拉多大学博尔德分校技术,网络安全和政策总监,Neutral Vehicle Consortium 联盟成员(曾是美国国土安全部网络安全部的项目经理);W3C的互联汽车主管Ted Guild和MIT计算机科学与人工智能实验室(CSAIL)的研究人员。


他们的回答是明确而明确的:网络安全是一项行政责任;它不能退位或盲目委托给内部部门或外部提供者。这是他们的比喻:高级管理人员不得也不会将公司的财务工作留给会计部门(单独)或将人员发展留给人事部门(单独);同样,车队高管必须在概念级别上掌握网络安全,并且必须向其IT部门和供应商提出正确的问题,以使自己确信已制定了一个强大的计划。


同时,网络安全当然是高度技术性的主题,车队必须依靠公司内部和外部的经验丰富且专业的技术专家。因此,承担责任并不意味着成为网络专家。但这确实意味着了解基本原理。因此,对我们问题的答案实际上不是“非此即彼”,而是“两者”。


后续问题是:“高管如何承担责任?”


答案很实用。鉴于网络安全中所有技术上的复杂性和细节常常是巨大的,车队高管应该着重考虑以下四个原则:


  1. 互联车队的网络安全始于基于标准的安全计划,然后针对互联车队的特定环境进行量身定制。可以在更广泛的标准(例如ISO或NIST)的框架中实施的一组特定于车队的安全建议的一个例子是美国DOT Volpe国家运输系统中心为国土安全部准备的机构的远程信息处理网络安全入门。这样一组具体的建议将确保适当解决与车队相关的风险,威胁和漏洞。科罗拉多大学的Neutral Vehicle Consortium积极参与提出车队特定的安全建议,并促进其在车队行业中的采用。


  2. 车队高管必须意识到,对于那些设计该系统的“内部人员”来说,要采用外部入侵者的思维方式将总是很难。“坏家伙”的想法有所不同。因此,尽管听起来有些违反直觉,但“开放系统”(已被完全披露并记录在案)实际上比封闭系统更安全,封闭系统仅是内部人员和寻找漏洞的对手才知道。在封闭的系统中,防御者可以自己依靠,而在开放的系统中,防御者可以让其系统用户成为盟友。公司还应该雇用外部人员来评估安全系统并寻找弱点-这种外部观点和测试至关重要。


  3. 安全永远是旅途,而不是目的地。对手将不断寻找突破性的创新方法。根本没有**的系统。那些说不这样的人要么遭受愚昧和自大,要么故意撒谎。因此,关键是从完善的体系结构入手,尽早发现缺陷并立即修补它们。因此,使用数字签名更新进行空中修补是所有车队安全计划的第三个关键组成部分。


  4. 最后,相连的车队并不是孤立存在的。它们通常依赖于第三方提供的系统和组件,这些第三方必须在其系统中遵循上述原则。


因此,车队高管应该问四个关键问题:


  1. 我们的车队是否遵循**的网络安全标准,并且其实施是否针对车队和运输业?

  2. 我们是否使用外部专家来测试/挑战我们的安全程序?

  3. 我们是否披露安全漏洞,并且我们有可靠的无线补丁系统?

  4. 我们的战略合作伙伴是否对上述问题有很好的答案?



询问这四个问题(不仅是一次,而且要定期进行),并坚持清晰,明确和可理解的答案,是车队高管可以而且必须承担管理网络风险的具体方式。


作者:Dirk Schlimm,副总裁,Geotab



☆ END ☆



点击上方蓝字关注我们


  • 电话咨询
  • 15021948198
  • 021-22306692
None