Biler som ofre for cyberangrep

Biler som ofre for cyberangrep

I følge «Automotive Industry Situation Report» fra det tyske forbundskontoret for informasjonssikkerhet (BSI), er løsepengevareangrep for tiden den største operasjonelle trusselen mot cybersikkerhet. Bilindustrien krever derfor i økende grad TISAX-vurderinger fra sine leverandører for informasjonssikkerhet, som er delt inn i tre beskyttelsesklasser (nivåer). Mange av de rundt 900 østerrikske billeverandørene er også berørt av dette. CIS – Certification & Information Security Services GmbH reagerer på dette og tilbyr nå nivå 2-vurderinger i tillegg til nivå 3. CIS er et østerriksk serviceselskap innen sertifisering av styringssystemer og sertifisering av mennesker.

"Bilindustrien er spesielt nært knyttet sammen på grunn av den komplekse leverandørpyramiden - risikoen for en kjedereaksjon i tilfelle et cyberangrep er tilsvarende høy," forklarer Christoph Schuh-Wendl, TISAX-sjef og nettverkspartner i CIS. Siden utbruddet av konflikten mellom Russland og Ukraina har følsomheten for dette økt ytterligere. Det er faktisk ikke mulig for utviklingsleverandører i bransjen å gi tilbud dersom de ikke har de nødvendige sertifikater og merkelapper. Mens sertifiseringer i henhold til IATF 16949 (kvalitet), ISO 14001 (miljø) eller arbeidssikkerhet (45001) lenge har vært standardkrav i bilindustrien, har TISAX-vurderinger også blitt stadig mer påkrevd i det siste. TISAX (Trusted Information Security Assessment Exchange) er en bransjespesifikk utvekslingsmekanisme innen informasjonssikkerhet. "Alle selskaper må først registrere seg på bilprodusentenes såkalte ENX-plattform og deretter gjennomgå en vurdering. Når testresultatene er tilgjengelige, kan testetikettene som utstedes, sees av alle eksisterende og potensielt nye forretningspartnere på plattformen, forutsatt at denne informasjonen deles med dem," forklarer Schuh-Wendl. I begynnelsen krevde bilselskapene kun TISAX fra sine direkte leverandører (Tier 1), men nå påvirker trenden også nedstrøms forsyningskjeden (Tier 2).

Hvis selskaper er involvert i kjøretøyutvikling på noen måte, kreves det vanligvis nivå 2-vurderinger - fra programvareutviklere til designkontorer eller til og med renovasjonsselskaper. "Hvert uforsiktig kastet papir kan bli en sikkerhetsrisiko. Testkatalogen fokuserer spesielt på områdene konfidensialitet (industrispionasje), tilgjengelighet, cybersikkerhet samt integriteten og bevisstheten til ansatte og leverandører," understreker Schuh-Wendl. Klaus Veselko, administrerende direktør i CIS - Certification & Information Security Services GmbH, er overbevist om at sikkerhetskravene vil øke i fremtiden: "På grunn av transformasjonen mot e-mobilitet vil digitaliseringen i bilindustrien gå raskt - dette vil i ettertid også øke sikkerhetskravene for utviklere."