Automobili kao žrtve cyber napada

Automobili kao žrtve cyber napada

Prema “Izvješću o stanju u automobilskoj industriji” njemačkog Saveznog ureda za informacijsku sigurnost (BSI), napadi ransomwareom trenutno su najveća operativna prijetnja kibernetičkoj sigurnosti. Automobilska industrija stoga od svojih dobavljača sve više zahtijeva TISAX-ove procjene za informacijsku sigurnost, koje su podijeljene u tri klase (razine) zaštite. Mnogi od oko 900 austrijskih dobavljača automobila također su pogođeni time. CIS – Certification & Information Security Services GmbH odgovara na ovo i sada nudi ocjenjivanje razine 2 uz razinu 3. CIS je austrijska uslužna tvrtka u području certificiranja sustava upravljanja i certificiranja ljudi.

“Automobilska industrija posebno je usko povezana zbog složene piramide dobavljača – rizik od lančane reakcije u slučaju kibernetičkog napada je odgovarajuće visok,” objašnjava Christoph Schuh-Wendl, TISAX-ov menadžer i mrežni partner CIS-a. Od izbijanja rusko-ukrajinskog sukoba, osjetljivost na to dodatno je porasla. Zapravo, razvojni dobavljači u industriji ne mogu predati ponude ako nemaju potrebne certifikate i oznake. Dok su certifikati prema IATF 16949 (kvaliteta), ISO 14001 (okoliš) ili zaštita na radu (45001) već dugo standardni zahtjevi u automobilskoj industriji, TISAX-ove procjene također su nedavno sve više tražene. TISAX (Trusted Information Security Assessment Exchange) je mehanizam razmjene specifičan za industriju u području informacijske sigurnosti. "Sve tvrtke prvo se moraju registrirati na takozvanoj ENX platformi proizvođača automobila, a zatim proći procjenu. Nakon što su rezultati testa dostupni, izdane testne naljepnice mogu vidjeti svi postojeći i potencijalno novi poslovni partneri na platformi, pod uvjetom da se te informacije dijele s njima", objašnjava Schuh-Wendl. U početku su automobilske tvrtke zahtijevale TISAX samo od svojih izravnih dobavljača (Tier 1), ali sada trend utječe i na nizvodni lanac opskrbe (Tier 2).

Ako su tvrtke na bilo koji način uključene u razvoj vozila, obično su potrebne procjene razine 2 - od programera softvera do dizajnerskih ureda ili čak tvrtki za zbrinjavanje otpada. "Svaki nemarno bačen komad papira može postati sigurnosni rizik. Testni katalog posebno se fokusira na područja povjerljivosti (industrijska špijunaža), dostupnosti, kibernetičke sigurnosti kao i integriteta i svijesti zaposlenika i dobavljača", naglašava Schuh-Wendl. Klaus Veselko, direktor tvrtke CIS - Certification & Information Security Services GmbH, uvjeren je da će se sigurnosni zahtjevi u budućnosti povećati: "Zbog transformacije prema e-mobilnosti, digitalizacija u automobilskoj industriji će brzo napredovati - to će posljedično povećati i sigurnosne zahtjeve za programere."