Avtomobili kot žrtve kibernetskih napadov

Avtomobili kot žrtve kibernetskih napadov

Po »Poročilu o stanju v avtomobilski industriji« nemškega zveznega urada za informacijsko varnost (BSI) so napadi z izsiljevalsko programsko opremo trenutno največja operativna grožnja kibernetski varnosti. Avtomobilska industrija zato od svojih dobaviteljev vedno bolj zahteva ocene TISAX za informacijsko varnost, ki so razdeljene v tri zaščitne razrede (stopnje). To vpliva tudi na številne od približno 900 avstrijskih avtomobilskih dobaviteljev. CIS – Certification & Information Security Services GmbH se odziva na to in zdaj poleg ravni 3 ponuja ocene 2. stopnje. CIS je avstrijsko storitveno podjetje na področju certificiranja sistemov vodenja in certificiranja ljudi.

»Avtomobilska industrija je zaradi zapletene dobavne piramide še posebej tesno povezana – tveganje verižne reakcije v primeru kibernetskega napada je ustrezno visoko,« pojasnjuje Christoph Schuh-Wendl, vodja TISAX-a in omrežni partner CIS. Od izbruha rusko-ukrajinskega spora se je občutljivost za to še povečala. Dejstvo je, da ponudniki razvoja v industriji ne morejo oddati ponudb, če nimajo zahtevanih certifikatov in oznak. Medtem ko so certifikati po IATF 16949 (kakovost), ISO 14001 (okolje) ali varnost pri delu (45001) že dolgo standardne zahteve v avtomobilski industriji, so v zadnjem času vse bolj zahtevane tudi ocene TISAX. TISAX (Trusted Information Security Assessment Exchange) je panožno specifičen mehanizem izmenjave na področju informacijske varnosti. "Vsa podjetja se morajo najprej registrirati na tako imenovani platformi ENX proizvajalcev avtomobilov in nato opraviti oceno. Ko so na voljo rezultati testiranja, si lahko izdane preskusne oznake ogledajo vsi obstoječi in potencialno novi poslovni partnerji na platformi, če se te informacije delijo z njimi," pojasnjuje Schuh-Wendl. Na začetku so avtomobilska podjetja zahtevala TISAX le od svojih neposrednih dobaviteljev (Tier 1), zdaj pa trend vpliva tudi na nižjo dobavno verigo (Tier 2).

Če se podjetja kakorkoli ukvarjajo z razvojem vozil, so običajno potrebne ocene 2. stopnje – od razvijalcev programske opreme do oblikovalskih birojev ali celo podjetij za odstranjevanje odpadkov. »Vsak neprevidno odvržen kos papirja lahko postane varnostno tveganje. Testni katalog se osredotoča predvsem na področja zaupnosti (industrijsko vohunjenje), razpoložljivosti, kibernetske varnosti ter integritete in ozaveščenosti zaposlenih in dobaviteljev,« poudarja Schuh-Wendl. Klaus Veselko, generalni direktor CIS - Certification & Information Security Services GmbH, je prepričan, da se bodo varnostne zahteve v prihodnosti povečale: »Zaradi preobrazbe v e-mobilnost bo digitalizacija v avtomobilski industriji hitro napredovala – to bo posledično povečalo tudi varnostne zahteve za razvijalce.«