汽车成为网络攻击的受害者

汽车成为网络攻击的受害者

德国联邦信息安全办公室（BSI）《汽车行业形势报告》显示，勒索软件攻击是目前网络安全面临的最大运营威胁。因此，汽车行业越来越要求其供应商进行信息安全 TISAX 评估，评估分为三个保护类别（级别）。大约 900 家奥地利汽车供应商中的许多也受到了影响。 CIS – Certification & Information Security Services GmbH 对此做出了回应，除了 3 级评估之外，现在还提供 2 级评估。CIS 是一家奥地利服务公司，专注于管理体系认证和人员认证领域。

TISAX 经理兼 CIS 网络合作伙伴 Christoph Schuh-Wendl 解释道：“由于复杂的供应商金字塔，汽车行业之间的联系尤为紧密 - 发生网络攻击时发生连锁反应的风险也相应较高。”俄乌冲突爆发以来，对此的敏感度进一步上升。事实上，行业内的开发供应商如果没有所需的证书和标签，就不可能提交报价。虽然 IATF 16949（质量）、ISO 14001（环境）或职业安全 (45001) 认证长期以来一直是汽车行业的标准要求，但最近也越来越需要 TISAX 评估。 TISAX（可信信息安全评估交换）是信息安全领域特定行业的交换机制。 “所有公司首先必须在汽车制造商所谓的 ENX 平台上注册，然后接受评估。一旦获得测试结果，平台上所有现有和潜在的新业务合作伙伴都可以查看发布的测试标签，前提是与他们共享此信息。”Schuh-Wendl 解释道。最初，汽车公司仅向其直接供应商（一级）要求 TISAX，但现在这一趋势也影响到下游供应链（二级）。

如果公司以任何方式参与车辆开发，通常需要进行 2 级评估——从软件开发商到设计办公室，甚至废物处理公司。 “每一张不小心扔掉的纸都可能成为安全风险。测试目录特别关注机密性（工业间谍活动）、可用性、网络安全以及员工和供应商的诚信和意识等领域，”Schuh-Wendl 强调。 CIS - Certification & Information Security Services GmbH 董事总经理 Klaus Veselko 坚信，未来安全要求将会增加：“由于向电动汽车转型，汽车行业的数字化将迅速发展 - 这也将增加对开发人员的安全要求。”