Samochody ofiarami cyberataków

Samochody ofiarami cyberataków

Według „Raportu o sytuacji w branży motoryzacyjnej” niemieckiego Federalnego Urzędu ds. Bezpieczeństwa Informacji (BSI) ataki ransomware stanowią obecnie największe zagrożenie operacyjne dla bezpieczeństwa cybernetycznego. Dlatego też przemysł motoryzacyjny coraz częściej wymaga od swoich dostawców ocen TISAX pod kątem bezpieczeństwa informacji, które podzielone są na trzy klasy (poziomy) ochrony. Dotyczy to również wielu z około 900 austriackich dostawców branży motoryzacyjnej. CIS – Certification & Information Security Services GmbH reaguje na to i oferuje obecnie oceny poziomu 2 oprócz poziomu 3. CIS jest austriacką firmą usługową w dziedzinie certyfikacji systemów zarządzania i certyfikacji ludzi.

„Branża motoryzacyjna jest szczególnie ściśle powiązana ze względu na złożoną piramidę dostawców – ryzyko reakcji łańcuchowej w przypadku cyberataku jest odpowiednio wysokie” – wyjaśnia Christoph Schuh-Wendl, menedżer TISAX i partner sieciowy WNP. Od wybuchu konfliktu rosyjsko-ukraińskiego wrażliwość na tę kwestię jeszcze bardziej wzrosła. Tak naprawdę dostawcy rozwiązań rozwojowych z branży nie mają możliwości składania ofert, jeśli nie posiadają wymaganych certyfikatów i etykiet. Chociaż certyfikaty zgodne z IATF 16949 (jakość), ISO 14001 (środowisko) lub bezpieczeństwo pracy (45001) od dawna są standardowymi wymaganiami w branży motoryzacyjnej, ostatnio coraz częściej wymagane są także oceny TISAX. TISAX (Trusted Information Security Assessment Exchange) to specyficzny dla branży mechanizm wymiany w zakresie bezpieczeństwa informacji. „Wszystkie firmy muszą najpierw zarejestrować się na tzw. platformie ENX producentów samochodów, a następnie przejść ocenę. Po udostępnieniu wyników testów wydane etykiety testowe mogą być przeglądane przez wszystkich istniejących i potencjalnie nowych partnerów biznesowych na platformie, pod warunkiem udostępnienia im tych informacji” – wyjaśnia Schuh-Wendl. Na początku firmy motoryzacyjne wymagały TISAX jedynie od swoich bezpośrednich dostawców (Tier 1), ale obecnie tendencja ta wpływa również na dalszy łańcuch dostaw (Tier 2).

Jeśli firmy są w jakikolwiek sposób zaangażowane w rozwój pojazdów, zwykle wymagana jest ocena poziomu 2 – od twórców oprogramowania po biura projektowe, a nawet firmy zajmujące się utylizacją odpadów. „Każda nieostrożnie wyrzucona kartka papieru może stanowić zagrożenie dla bezpieczeństwa. Katalog testowy skupia się szczególnie na obszarach poufności (szpiegostwo przemysłowe), dostępności, cyberbezpieczeństwie, a także integralności i świadomości pracowników i dostawców” – podkreśla Schuh-Wendl. Klaus Veselko, dyrektor zarządzający CIS – Certification & Information Security Services GmbH, jest przekonany, że wymagania dotyczące bezpieczeństwa będą w przyszłości rosły: „W związku z transformacją w kierunku e-mobilności cyfryzacja w branży motoryzacyjnej będzie szybko postępować – co w konsekwencji przełoży się również na zwiększenie wymagań bezpieczeństwa dla deweloperów”.