Auto’s als slachtoffer van cyberaanvallen

Auto’s als slachtoffer van cyberaanvallen

Volgens het ‘Automotive Industry Situation Report’ van het Duitse Federale Bureau voor Informatiebeveiliging (BSI) vormen ransomware-aanvallen momenteel de grootste operationele bedreiging voor de cyberveiligheid. De auto-industrie eist daarom steeds vaker TISAX-beoordelingen van haar leveranciers voor informatiebeveiliging, die zijn onderverdeeld in drie beschermingsklassen (niveaus). Ook veel van de ongeveer 900 Oostenrijkse autotoeleveranciers worden hierdoor getroffen. CIS – Certification & Information Security Services GmbH speelt hierop in en biedt naast Level 3 nu ook Level 2 assessments aan. CIS is een Oostenrijks dienstverlenend bedrijf op het gebied van certificering van managementsystemen en de certificering van mensen.

“De auto-industrie is bijzonder nauw met elkaar verbonden vanwege de complexe leverancierspiramide – het risico op een kettingreactie bij een cyberaanval is navenant groot”, legt Christoph Schuh-Wendl, TISAX-manager en netwerkpartner van het CIS, uit. Sinds het uitbreken van het conflict tussen Rusland en Oekraïne is de gevoeligheid hiervoor verder toegenomen. Sterker nog, het is voor ontwikkelingsleveranciers uit de branche niet mogelijk om offertes uit te brengen als zij niet over de benodigde certificaten en labels beschikken. Terwijl certificeringen volgens IATF 16949 (kwaliteit), ISO 14001 (milieu) of arbeidsveiligheid (45001) al lange tijd standaardvereisten zijn in de auto-industrie, zijn TISAX-beoordelingen de laatste tijd ook steeds vaker vereist. TISAX (Trusted Information Security Assessment Exchange) is een branchespecifiek uitwisselingsmechanisme op het gebied van informatiebeveiliging. "Alle bedrijven moeten zich eerst registreren op het zogenaamde ENX-platform van de autofabrikanten en vervolgens een beoordeling ondergaan. Zodra de testresultaten beschikbaar zijn, kunnen de uitgegeven testlabels vervolgens door alle bestaande en mogelijk nieuwe zakenpartners op het platform worden bekeken, op voorwaarde dat deze informatie met hen wordt gedeeld", legt Schuh-Wendl uit. In het begin eisten de automobielbedrijven alleen TISAX van hun directe leveranciers (Tier 1), maar nu heeft de trend ook gevolgen voor de stroomafwaartse toeleveringsketen (Tier 2).

Als bedrijven op enigerlei wijze betrokken zijn bij de ontwikkeling van voertuigen, zijn beoordelingen op niveau 2 meestal vereist - van softwareontwikkelaars tot ontwerpbureaus of zelfs afvalverwerkingsbedrijven. "Elk onzorgvuldig weggegooid papiertje kan een veiligheidsrisico vormen. De testcatalogus richt zich vooral op de gebieden vertrouwelijkheid (industriële spionage), beschikbaarheid, cyberveiligheid en de integriteit en het bewustzijn van medewerkers en leveranciers", benadrukt Schuh-Wendl. Klaus Veselko, Managing Director van CIS - Certification & Information Security Services GmbH, is ervan overtuigd dat de beveiligingseisen in de toekomst zullen toenemen: "Door de transformatie naar e-mobiliteit zal de digitalisering in de auto-industrie snel voortschrijden - dit zal vervolgens ook de beveiligingseisen voor ontwikkelaars verhogen."