I CISO aziendali sono abituati a preoccuparsi delle perdite di dati aziendali tramite tipiche posizioni mobili, remote, IoT e Shadow IT. Ma per quanto riguarda i veicoli utilizzati da così tante persone che hanno accesso ai sistemi e ai dati che sei pagato per proteggere? Sebbene questi veicoli rientrino tecnicamente in molte di queste categorie (mobili, remoti e IoT in particolare), a seconda della marca e del modello del veicolo, potrebbero contenere registri delle chiamate telefoniche, cronologia precisa della geolocalizzazione, contatti, registri delle chat e trasmissioni e-mail lungo con le probabili identità delle persone che entrano e escono dal veicolo e i timestamp per tutto quanto sopra.
Man mano che un numero crescente di veicoli semi-autonomi sta guadagnando popolarità – e soprattutto quando i veicoli veramente autonomi iniziano a materializzarsi in pochi anni – il volume di dati che questi veicoli conserveranno crescerà rapidamente.
Esistono tre categorie di questi veicoli di cui i CISO devono preoccuparsi:
- Veicoli personali , di proprietà, noleggiati o altrimenti controllati da chiunque abbia un accesso privilegiato alla rete: un sottoinsieme di dipendenti, appaltatori, partner e clienti.
- Veicoli della flotta, di proprietà, noleggiati o altrimenti controllati dalla tua impresa e guidati da dipendenti o appaltatori con accesso privilegiato alla rete.
- Veicoli a noleggio , pagati con dollari aziendali e probabilmente guidati da un sottogruppo di dipendenti e appaltatori. La proprietà è probabilmente da parte dell'autonoleggio.
È importante delineare queste tre categorie – e i diversi tipi di persone che guidano quei veicoli – poiché i CISO cercano di decidere cosa possono e dovrebbero fare riguardo ai rischi di dati che questi veicoli presentano. La loro più grande capacità di assumere il controllo dei dati del veicolo è con le flotte e i camion, dove una posizione estrema sarebbe quella di pulire e / o sostituire sistematicamente i due moduli di dati esistenti nella maggior parte dei veicoli (uno per il sistema di infotainment e l'altro per la telematica ).
Un'altra opzione estrema è, per incontri estremamente delicati e critici (diciamo, forse, il CEO che visita il CEO di un target di acquisizione chiave a casa sua, un incontro che entrambi i dirigenti devono mantenere segreti per il momento), per avere macchine con il bruciatore allo stesso modo che alcuni hanno telefoni con bruciatore. Si tratterebbe di veicoli con moduli di dati puliti che selezionano le persone che possono essere utilizzati per riunioni segrete e che quindi i moduli di dati vengano nuovamente cancellati o sostituiti immediatamente.
Quando si tratta di veicoli personali utilizzati da dipendenti, appaltatori, partner e soprattutto clienti, la maggior parte dei CISO può emettere promemoria che minacciano la chiusura se un veicolo viene utilizzato per accedere a dati sensibili. Ma data la necessità contraria di massima efficienza, facilità di accesso e velocità di comunicazione, questa può essere una politica difficile da applicare o addirittura da firmare.
I veicoli hanno iniziato a diventare molto più sofisticati dal punto di vista tecnologico dal 2008, ha affermato Brook Schaub, ex detective di polizia e oggi specialista in e-discovery certificato e responsabile forense con una società forense e di valutazione chiamata Eide Bailly. Oggi "ora hai fino a circa 70 computer in ogni auto", ha detto Schaub.
"Nella suite C manca il riconoscimento delle automobili come problemi di sicurezza informatica", ha affermato Shane Curran, direttore di Connector APAC, una società australiana che si occupa di flotte automobilistiche, mobilità, tecnologia e vantaggi. "Le auto sono passate dall'essere oggetti meccanici ai dispositivi mobili di dati in pochissimo tempo."
Marc Canel, vicepresidente responsabile della strategia e della sicurezza presso Imagination Technologies, una società di intelligenza artificiale e grafica che spesso si occupa di problemi automobilistici, considera il problema della conservazione dei dati dei veicoli per i CISO amorfo e stimolante. “È quasi impossibile sapere cosa rimane in macchina. Personalmente non avrei mai usato il Bluetooth in un'auto a noleggio ", ha detto Canel.
Le auto oggi stanno anche raccogliendo moltissime informazioni personali, con monitor di glucosio e alcol nel sangue che non consentiranno l'avvio dell'accensione se i numeri sono sufficientemente buoni. Combinalo con il costante monitoraggio da parte dell'auto del peso di tutti i passeggeri (ai fini della cintura di sicurezza e dell'airbag) e avrai un problema di riservatezza. Supponiamo che la tua azienda sia quotata in borsa e Wall Street stia inseguendo le voci sulla salute del tuo CEO. Come ti sentiresti se un ladro di automobili potesse accedere a tutte queste informazioni e venderle?
Schaub ha citato un caso di polizia in cui il sospettato di omicidio ha cercato di creare un alibi lasciando il suo telefono in una cabina isolata, lontano dalla scena del crimine al momento dell'omicidio. Ma interrogando la sua auto esaminando i moduli di dati nel veicolo dell'indagato, Schaub ha trovato molte prove di dove fosse l'indagato al momento del crimine.
“Prendi questo esempio: quando entri in macchina al mattino, sul cruscotto appare la piccola luce" socchiusa ". Questa attività è ora timbrata in data / ora nei computer del veicolo. Il veicolo viene avviato e il tuo cellulare si sincronizza automaticamente con il sistema di infotainment scaricando la tua lista chiamate, musica, messaggi di testo, rubrica e documentando che il tuo telefono si sta sincronizzando con il sistema acquisendo l'ID del dispositivo ", ha affermato Schaub. “Mentre guidi lungo la strada, ti fermi a un semaforo rosso accanto a uno Starbucks e il computer del veicolo registra il Wi-Fi gratuito che raggiunge il tuo cellulare. Quando porti un collega al carpool, ancora una volta vengono registrati i dati che mostrano la portiera del passeggero socchiusa. Il tuo collega ha il Bluetooth del suo cellulare abilitato, quindi il tuo sistema di infotainment lo vede, ne prende nota e decide se deve provare a sincronizzarsi con il telefono. Potrebbe persino documentare la posizione GPS in cui si trovava il veicolo quando ha riconosciuto il Bluetooth, nonché dove si trovava il veicolo quando il collega esce dal veicolo e il segnale viene perso. "
Esiste un database pubblico di settore a cui Schaub è affezionato ( https://berla.co/vehicle-lookup/ ) e che l'applicazione della legge in genere fa leva. L'idea è di elencare il maggior numero possibile di veicoli e di indicare quali dati è noto che ciascun veicolo conservi. È anche un buon strumento CISO, specialmente quando si studiano potenziali veicoli da aggiungere alla flotta della tua azienda. Viene fornito con limitazioni, però. La versione gratuita è limitata a un paio di auto al giorno, mentre una licenza a pagamento ha meno o nessuna restrizione. Molto più importante, tuttavia, il database non elenca molti veicoli.
Ma arriva su molti. Ad esempio, (vedi la schermata seguente) mostra che una Ford Escape 2020 conserva registri delle chiamate, contatti, identificatori univoci per Bluetooth, dispositivi mobili e Wi-Fi, cosa è collegato tramite USB e tutte le posizioni di navigazione, tra molte altre cose.
Un fattore complicante critico per la conservazione dei dati dei veicoli è che alcune case automobilistiche non ne hanno sempre un senso preciso per i propri veicoli perché molti componenti dell'auto – e quasi sempre il sistema di infotainment del veicolo, che acquisisce la maggior parte dei dati che preoccuperebbe un CISO – sono prodotti da terze parti. Se deliberatamente o no, tali componenti potrebbero conservare più di quanto viene detto dal marchio automobilistico. L'unico modo per dire è fare ciò che farebbe un tester di penna: accedere a entrambi i moduli di dati e vedere esattamente quali dati sono all'interno.
Come per gran parte della sicurezza, la sicurezza dei dati automobilistici comporta una varietà di decisioni "scegli il tuo veleno". A seconda della marca / modello / anno dell'auto, la conservazione dei dati dell'auto viene ridotta al minimo se un dispositivo mobile viene disconnesso al termine di un viaggio. Ma anche l'auto non lo conserva, i dati sono disponibili per il produttore del telefono, la società del sistema operativo, lo sviluppatore di app e talvolta il gestore telefonico. I dati di alcuni sistemi di navigazione rimangono al telefono, ma alcuni sistemi di navigazione nativi delle auto seguiranno comunque la posizione del veicolo. Se un dipendente sceglie, ad esempio, di utilizzare Waze su un iPhone, potrebbe esporre i propri dati sia ad Apple (che possiede iOS, il sistema operativo dell'iPhone) sia a Google, che capita di possedere Waze. È abbastanza per far impazzire un CISO.
Curran ha offerto altri dubbi sulla conservazione dei dati relativi ai veicoli. Con i veicoli semi-autonomi e soprattutto completamente autonomi, non solo c'è la necessità di un uso molto maggiore dei dati, ma anche i luoghi per la sua perdita sono grandi. Tali veicoli devono sapere cosa stanno facendo tutti i veicoli intorno a loro e qualsiasi dettaglio su tali veicoli. Interrogheranno ogni veicolo vicino e chiederanno tutto ciò che può, offrendo dati su se stesso nel processo, ha detto Curran. L'intento è quello di aiutare il sistema a prendere decisioni di vita o di morte, come ad esempio in quale veicolo si schiantano in caso di emergenza. Il sistema potrebbe pensare “Hmmmm. Piccolo camion Toyota contro Mack. Perderò. Pertanto, se necessario, colpirò la Honda alla mia destra. "
Disse Curran: "Il rischio è che, poiché i dati sono così ampiamente condivisi, potrebbero includere dati che non si intende condividere".
Un'altra paura di Curran: accesso ai dati dello stato straniero. Ha citato la Cina come l'attuale più grande produttore di automobili del pianeta, ma di grande preoccupazione è che le società cinesi siano posizionate per creare molti componenti per tutti gli altri grandi produttori di veicoli. Se quei componenti tentano di conservare i dati che non dovrebbero, sostiene Curran, potrebbero potenzialmente creare problemi di spionaggio aziendale.
Jeff Hall è consulente senior di Wesbey Associates, specializzato in problemi di sicurezza e in particolare conformità PCI e sicurezza informatica sanitaria. Hall avverte i CISO di essere estremamente cauti con i sistemi automobilistici per fidarsi di qualsiasi cosa.
"Google e Apple sono responsabili delle loro particolari integrazioni con questi sistemi di infotainment e i loro dispositivi. Nessuno dei produttori di veicoli produce i propri sistemi di infotainment. Contrattano con produttori come Denso, Delphi, Alpine, Continental, Harmon, Panasonic e altri. Il sistema operativo in molti di questi sistemi è Blackberry QNX, Linux o addirittura Windows incorporato, ma Google si sta facendo strada con il suo sistema operativo Android per Android, che apparirà sui veicoli GM nel 2021 ", ha detto Hall. “Anche i software applicativi come MyChevy, Cadillac User Experience (CUE), Ford SYNC, Chrysler Uconnect e simili sono tutti prodotti da un centro di sviluppo software nel mondo. Certo, tutto questo è soggetto alle specifiche del produttore del veicolo, ma non ne costruiscono nulla. Tutto ciò che fanno è installarlo nei veicoli sulle loro linee di assemblaggio. Quindi mi dici: come ti fidi di tutto ciò? ”
Il post I veicoli della tua flotta perdono i tuoi dati segreti? è apparso per primo su SC Media .