Le automobili vittime di attacchi informatici

Le automobili vittime di attacchi informatici

Secondo il “Rapporto sulla situazione dell’industria automobilistica” dell’Ufficio federale tedesco per la sicurezza informatica (BSI), gli attacchi ransomware rappresentano attualmente la più grande minaccia operativa alla sicurezza informatica. L’industria automobilistica richiede quindi sempre più spesso ai propri fornitori le valutazioni TISAX per la sicurezza delle informazioni, che sono suddivise in tre classi di protezione (livelli). Ne sono interessati anche molti dei circa 900 fornitori automobilistici austriaci. CIS – Certification & Information Security Services GmbH risponde a questo e offre ora, oltre al livello 3, anche valutazioni di livello 2. CIS è un'azienda austriaca di servizi nel campo della certificazione di sistemi di gestione e della certificazione delle persone.

"L'industria automobilistica è particolarmente interconnessa a causa della complessa piramide dei fornitori: il rischio di una reazione a catena in caso di attacco informatico è altrettanto elevato", spiega Christoph Schuh-Wendl, manager TISAX e partner di rete della CSI. Dallo scoppio del conflitto russo-ucraino la sensibilità al riguardo è ulteriormente aumentata. Non è infatti possibile per i fornitori di sviluppo del settore presentare offerte se non dispongono dei certificati e delle etichette richieste. Mentre le certificazioni secondo IATF 16949 (qualità), ISO 14001 (ambiente) o sicurezza sul lavoro (45001) sono da tempo requisiti standard nell'industria automobilistica, recentemente anche le valutazioni TISAX sono sempre più richieste. TISAX (Trusted Information Security Assessment Exchange) è un meccanismo di scambio specifico del settore nel campo della sicurezza delle informazioni. "Tutte le aziende devono inizialmente registrarsi sulla cosiddetta piattaforma ENX dei produttori di automobili e poi sottoporsi a una valutazione. Una volta disponibili i risultati dei test, le etichette di prova rilasciate possono essere visualizzate da tutti i partner commerciali esistenti e potenzialmente nuovi sulla piattaforma, a condizione che queste informazioni siano condivise con loro", spiega Schuh-Wendl. All’inizio, le aziende automobilistiche richiedevano TISAX solo ai loro fornitori diretti (Tier 1), ma ora la tendenza sta interessando anche la catena di fornitura a valle (Tier 2).

Se le aziende sono coinvolte in qualche modo nello sviluppo di veicoli, di solito sono richieste valutazioni di livello 2: dagli sviluppatori di software agli uffici di progettazione o persino alle aziende di smaltimento dei rifiuti. "Ogni pezzo di carta buttato via con noncuranza può diventare un rischio per la sicurezza. Il catalogo di prova si concentra in particolare sui settori della riservatezza (spionaggio industriale), della disponibilità, della sicurezza informatica nonché dell'integrità e della consapevolezza di dipendenti e fornitori", sottolinea Schuh-Wendl. Klaus Veselko, amministratore delegato di CIS - Certification & Information Security Services GmbH, è convinto che i requisiti di sicurezza aumenteranno in futuro: "Con la trasformazione verso la mobilità elettrica, la digitalizzazione nell'industria automobilistica progredirà rapidamente - ciò aumenterà successivamente anche i requisiti di sicurezza per gli sviluppatori."