Τα αυτοκίνητα ως θύματα κυβερνοεπιθέσεων

Τα αυτοκίνητα ως θύματα κυβερνοεπιθέσεων

Σύμφωνα με την «Automotive Industry Situation Report» από το Γερμανικό Ομοσπονδιακό Γραφείο για την Ασφάλεια Πληροφοριών (BSI), οι επιθέσεις ransomware είναι επί του παρόντος η μεγαλύτερη επιχειρησιακή απειλή για την ασφάλεια στον κυβερνοχώρο. Ως εκ τούτου, η αυτοκινητοβιομηχανία απαιτεί ολοένα και περισσότερο αξιολογήσεις TISAX από τους προμηθευτές της για την ασφάλεια πληροφοριών, οι οποίες χωρίζονται σε τρεις κατηγορίες προστασίας (επίπεδα). Πολλοί από τους περίπου 900 αυστριακούς προμηθευτές αυτοκινήτων επηρεάζονται επίσης από αυτό. Η CIS – Certification & Information Security Services GmbH ανταποκρίνεται σε αυτό και προσφέρει πλέον αξιολογήσεις Επιπέδου 2 εκτός από το Επίπεδο 3. Η CIS είναι μια αυστριακή εταιρεία παροχής υπηρεσιών στον τομέα της πιστοποίησης συστημάτων διαχείρισης και πιστοποίησης ατόμων.

«Η αυτοκινητοβιομηχανία είναι ιδιαίτερα στενά συνδεδεμένη λόγω της πολύπλοκης πυραμίδας προμηθευτών - ο κίνδυνος μιας αλυσιδωτής αντίδρασης σε περίπτωση κυβερνοεπίθεσης είναι αντίστοιχα υψηλός», εξηγεί ο Christoph Schuh-Wendl, διευθυντής TISAX και συνεργάτης δικτύου της CIS. Από το ξέσπασμα της σύγκρουσης Ρωσίας-Ουκρανίας, η ευαισθησία σε αυτό έχει αυξηθεί περαιτέρω. Στην πραγματικότητα, οι προμηθευτές ανάπτυξης του κλάδου δεν είναι δυνατό να υποβάλλουν προσφορές εάν δεν διαθέτουν τα απαιτούμενα πιστοποιητικά και ετικέτες. Ενώ οι πιστοποιήσεις σύμφωνα με το IATF 16949 (ποιότητα), το ISO 14001 (περιβάλλον) ή την επαγγελματική ασφάλεια (45001) αποτελούν από καιρό τυπικές απαιτήσεις στην αυτοκινητοβιομηχανία, οι αξιολογήσεις TISAX απαιτούνται επίσης όλο και περισσότερο πρόσφατα. Το TISAX (Trusted Information Security Assessment Exchange) είναι ένας ειδικός μηχανισμός ανταλλαγής στον τομέα της ασφάλειας πληροφοριών. "Όλες οι εταιρείες πρέπει αρχικά να εγγραφούν στη λεγόμενη πλατφόρμα ENX των κατασκευαστών αυτοκινήτων και στη συνέχεια να υποβληθούν σε αξιολόγηση. Μόλις τα αποτελέσματα των δοκιμών είναι διαθέσιμα, οι ετικέτες δοκιμών που εκδόθηκαν μπορούν στη συνέχεια να προβληθούν από όλους τους υπάρχοντες και δυνητικά νέους επιχειρηματικούς εταίρους στην πλατφόρμα, υπό την προϋπόθεση ότι αυτές οι πληροφορίες κοινοποιηθούν σε αυτούς", εξηγεί ο Schuh-Wendl. Στην αρχή, οι αυτοκινητοβιομηχανίες ζητούσαν μόνο TISAX από τους άμεσους προμηθευτές τους (Tier 1), αλλά τώρα η τάση επηρεάζει και την κατάντη αλυσίδα εφοδιασμού (Tier 2).

Εάν οι εταιρείες εμπλέκονται στην ανάπτυξη οχημάτων με οποιονδήποτε τρόπο, απαιτούνται συνήθως αξιολογήσεις επιπέδου 2 - από προγραμματιστές λογισμικού μέχρι γραφεία σχεδιασμού ή ακόμα και εταιρείες διάθεσης απορριμμάτων. "Κάθε απρόσεκτα πεταμένο χαρτί μπορεί να αποτελέσει κίνδυνο ασφάλειας. Ο κατάλογος δοκιμών εστιάζει ιδιαίτερα στους τομείς της εμπιστευτικότητας (βιομηχανική κατασκοπεία), της διαθεσιμότητας, της ασφάλειας στον κυβερνοχώρο καθώς και της ακεραιότητας και της ευαισθητοποίησης των εργαζομένων και των προμηθευτών", τονίζει ο Schuh-Wendl. Ο Klaus Veselko, Διευθύνων Σύμβουλος της CIS - Certification & Information Security Services GmbH, είναι πεπεισμένος ότι οι απαιτήσεις ασφάλειας θα αυξηθούν στο μέλλον: "Λόγω του μετασχηματισμού προς την ηλεκτρονική κινητικότητα, η ψηφιοποίηση στην αυτοκινητοβιομηχανία θα προχωρήσει γρήγορα - αυτό στη συνέχεια θα αυξήσει επίσης τις απαιτήσεις ασφάλειας για τους προγραμματιστές."