Carros como vítimas de ataques cibernéticos

Carros como vítimas de ataques cibernéticos

De acordo com o “Relatório de Situação da Indústria Automotiva” do Escritório Federal Alemão para Segurança da Informação (BSI), os ataques de ransomware são atualmente a maior ameaça operacional à segurança cibernética. A indústria automóvel exige, portanto, cada vez mais dos seus fornecedores avaliações TISAX para segurança da informação, que estão divididas em três classes (níveis) de proteção. Muitos dos cerca de 900 fornecedores automóveis austríacos também são afetados por esta situação. A CIS – Certification & Information Security Services GmbH está respondendo a isso e agora oferece avaliações de Nível 2 além do Nível 3. A CIS é uma empresa austríaca de serviços na área de certificação de sistemas de gestão e certificação de pessoas.

“A indústria automóvel está particularmente interligada devido à complexa pirâmide de fornecedores – o risco de uma reação em cadeia no caso de um ataque cibernético é correspondentemente elevado”, explica Christoph Schuh-Wendl, gestor da TISAX e parceiro de rede do CIS. Desde a eclosão do conflito Rússia-Ucrânia, a sensibilidade a esta questão aumentou ainda mais. Na verdade, não é possível que os fornecedores de desenvolvimento do setor apresentem ofertas se não possuírem os certificados e rótulos exigidos. Embora as certificações de acordo com IATF 16949 (qualidade), ISO 14001 (meio ambiente) ou segurança ocupacional (45001) sejam há muito tempo requisitos padrão na indústria automotiva, as avaliações TISAX também têm sido cada vez mais exigidas recentemente. TISAX (Trusted Information Security Assessment Exchange) é um mecanismo de intercâmbio específico do setor na área de segurança da informação. “Todas as empresas devem inicialmente registar-se na chamada plataforma ENX dos fabricantes de automóveis e depois passar por uma avaliação. Assim que os resultados dos testes estiverem disponíveis, as etiquetas de teste emitidas podem então ser visualizadas por todos os parceiros de negócios existentes e potencialmente novos na plataforma, desde que esta informação seja partilhada com eles”, explica Schuh-Wendl. No início, as empresas automóveis apenas exigiam o TISAX aos seus fornecedores diretos (Tier 1), mas agora a tendência também está a afetar a cadeia de abastecimento a jusante (Tier 2).

Se as empresas estiverem envolvidas de alguma forma no desenvolvimento de veículos, geralmente são necessárias avaliações de nível 2 - desde desenvolvedores de software até escritórios de design ou até mesmo empresas de eliminação de resíduos. "Cada pedaço de papel jogado fora descuidadamente pode se tornar um risco à segurança. O catálogo de testes concentra-se particularmente nas áreas de confidencialidade (espionagem industrial), disponibilidade, segurança cibernética, bem como na integridade e conscientização de funcionários e fornecedores", enfatiza Schuh-Wendl. Klaus Veselko, Diretor Geral da CIS - Certification & Information Security Services GmbH, está convencido de que os requisitos de segurança aumentarão no futuro: "Devido à transformação em direção à mobilidade elétrica, a digitalização na indústria automotiva progredirá rapidamente - o que subsequentemente também aumentará os requisitos de segurança para os desenvolvedores".