Los coches como víctimas de ciberataques

Los coches como víctimas de ciberataques

Según el "Informe de situación de la industria automovilística" de la Oficina Federal Alemana para la Seguridad de la Información (BSI), los ataques de ransomware son actualmente la mayor amenaza operativa para la ciberseguridad. Por ello, la industria automovilística exige cada vez más a sus proveedores evaluaciones TISAX para la seguridad de la información, que se dividen en tres clases (niveles) de protección. Esto también afecta a muchos de los aproximadamente 900 proveedores de automóviles austriacos. CIS – Certification & Information Security Services GmbH responde a esto y ahora ofrece, además del nivel 3, evaluaciones de nivel 2. CIS es una empresa de servicios austriaca en el campo de la certificación de sistemas de gestión y la certificación de personas.

"La industria automovilística está especialmente interconectada debido a la compleja pirámide de proveedores: en consecuencia, el riesgo de una reacción en cadena en caso de un ciberataque es alto", explica Christoph Schuh-Wendl, director de TISAX y socio de red de la CEI. Desde que estalló el conflicto entre Rusia y Ucrania, la sensibilidad al respecto ha aumentado aún más. De hecho, los proveedores de desarrollo de la industria no pueden presentar ofertas si no cuentan con los certificados y etiquetas requeridos. Si bien las certificaciones según IATF 16949 (calidad), ISO 14001 (medio ambiente) o seguridad laboral (45001) son desde hace tiempo requisitos estándar en la industria automovilística, últimamente también se exigen cada vez más las evaluaciones TISAX. TISAX (Trusted Information Security Assessment Exchange) es un mecanismo de intercambio específico de la industria en el campo de la seguridad de la información. "Todas las empresas primero deben registrarse en la llamada plataforma ENX de los fabricantes de automóviles y luego someterse a una evaluación. Una vez que los resultados de las pruebas estén disponibles, las etiquetas de prueba emitidas podrán ser vistas por todos los socios comerciales existentes y potencialmente nuevos en la plataforma, siempre que esta información se comparta con ellos", explica Schuh-Wendl. Al principio, las empresas de automoción sólo exigían TISAX a sus proveedores directos (Nivel 1), pero ahora la tendencia afecta también a la cadena de suministro posterior (Nivel 2).

Si las empresas participan de alguna manera en el desarrollo de vehículos, normalmente se requieren evaluaciones de nivel 2, desde desarrolladores de software hasta oficinas de diseño o incluso empresas de eliminación de residuos. "Cada trozo de papel tirado descuidadamente puede convertirse en un riesgo para la seguridad. El catálogo de pruebas se centra especialmente en las áreas de confidencialidad (espionaje industrial), disponibilidad, ciberseguridad, así como en la integridad y concienciación de empleados y proveedores", subraya Schuh-Wendl. Klaus Veselko, director general de CIS - Certification & Information Security Services GmbH, está convencido de que los requisitos de seguridad aumentarán en el futuro: "Debido a la transformación hacia la movilidad eléctrica, la digitalización en la industria del automóvil progresará rápidamente, lo que posteriormente aumentará también los requisitos de seguridad para los desarrolladores".