Auta jako oběti kybernetických útoků

Auta jako oběti kybernetických útoků

Podle zprávy „Automotive Industry Situation Report“ od německého Spolkového úřadu pro informační bezpečnost (BSI) jsou ransomwarové útoky v současnosti největší operační hrozbou pro kybernetickou bezpečnost. Automobilový průmysl proto stále více vyžaduje od svých dodavatelů hodnocení TISAX pro informační bezpečnost, která jsou rozdělena do tří tříd (úrovní) ochrany. To se týká také mnoha z přibližně 900 rakouských dodavatelů pro automobilový průmysl. CIS – Certification & Information Security Services GmbH na to reaguje a nyní kromě úrovně 3 nabízí hodnocení úrovně 2. CIS je rakouská servisní společnost v oblasti certifikace systémů managementu a certifikace lidí.

„Automobilový průmysl je díky složité dodavatelské pyramidě obzvláště úzce propojen – riziko řetězové reakce v případě kybernetického útoku je odpovídajícím způsobem vysoké,“ vysvětluje Christoph Schuh-Wendl, manažer TISAX a síťový partner CIS. Od vypuknutí rusko-ukrajinského konfliktu se citlivost na toto dále zvýšila. Ve skutečnosti není možné, aby dodavatelé vývoje v oboru podávali nabídky, pokud nemají požadované certifikáty a štítky. Zatímco certifikace podle IATF 16949 (kvalita), ISO 14001 (životní prostředí) nebo bezpečnost práce (45001) jsou v automobilovém průmyslu již dlouhou dobu standardními požadavky, v poslední době jsou stále více vyžadována i hodnocení TISAX. TISAX (Trusted Information Security Assessment Exchange) je průmyslově specifický výměnný mechanismus v oblasti informační bezpečnosti. "Všechny společnosti se musí nejprve zaregistrovat na takzvané platformě ENX výrobců automobilů a poté projít hodnocením. Jakmile budou výsledky testů k dispozici, mohou si vydané testovací štítky prohlédnout všichni stávající a potenciálně noví obchodní partneři na platformě, pokud s nimi budou tyto informace sdíleny," vysvětluje Schuh-Wendl. Automobilové společnosti zpočátku požadovaly TISAX pouze od svých přímých dodavatelů (Tier 1), ale nyní tento trend zasahuje i navazující dodavatelský řetězec (Tier 2).

Pokud se společnosti nějakým způsobem podílejí na vývoji vozidel, je obvykle vyžadováno hodnocení úrovně 2 – od softwarových vývojářů po konstrukční kanceláře nebo dokonce společnosti na likvidaci odpadu. "Každý nedbale odhozený papír se může stát bezpečnostním rizikem. Testovací katalog se zaměřuje zejména na oblasti důvěrnosti (průmyslová špionáž), dostupnosti, kybernetické bezpečnosti a také integrity a informovanosti zaměstnanců a dodavatelů," zdůrazňuje Schuh-Wendl. Klaus Veselko, generální ředitel CIS - Certification & Information Security Services GmbH, je přesvědčen, že požadavky na bezpečnost v budoucnu porostou: "Díky transformaci směrem k e-mobilitě bude digitalizace v automobilovém průmyslu rychle postupovat - to následně zvýší i bezpečnostní požadavky pro vývojáře."