Według Upstream 2022 Global Automotive Cybersecurity Report, który przeanalizował ponad 900 upublicznionych raportów dotyczących incydentów bezpieczeństwa oraz innych treści w dark webie, w 2021 roku odnotowano o 225% więcej incydentów cyberbezpieczeństwa w branży motoryzacyjnej niż w 2018. Doszło do nich głównie w dwóch obszarach: na etapie produkcji elektroniki czy oprogramowania do samochodów oraz w środowisku, w którym są one utrzymywane. Przed większością z nich można było się uchronić, między innymi stosując zasadę „secure by design”. O tym, jak to zrobić, opowiada ekspert ds. cyberbezpieczeństwa w DEKRA, Tomasz Szczygieł.
W procesie produkcji współczesnego pojazdu wykorzystuje się oprogramowania, jak również wiele elementów elektronicznych pochodzących od zewnętrznych dostawców. Model ten rodzi trudności w zapewnieniu bezpiecznego produktu, bowiem w samochodach, w których znajduje się wiele komponentów wykorzystanie jednej luki może spowodować dostęp do wielu elementów sterujących pojazdem.
Cyberbezpieczeństwo w DNA
Wsparciem w zakresie tworzenia bezpiecznych rozwiązań dla samochodów jest „ISO/SAE 21434:2021 Pojazdy drogowe – inżynieria cyberbezpieczeństwa”.
Standard ten ma pomóc projektować, produkować, utrzymywać i wycofywać z użytkowania systemy elektroniczne w pojazdach w sposób bezpieczny dla użytkownika, zarówno pod względem ochrony jego praw i wolności, jak również bezpieczeństwa fizycznego.
– „Istotnym elementem tego standardu jest analiza ryzyk w zakresie cyberbezpieczeństwa w całym cyklu życia rozwiązania w pojeździe. Takie podejście sprawia, że już na etapie projektu uwzględnia się możliwe zagrożenia, tym samym projektuje się pojazdy, w których DNA jest już uwzględnione cyberbezpieczeństwo” – mówi Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa w DEKRA.
Drugim standardem, który odnosi się do akcesoriów podłączanych do pojazdów, nierzadko mających również połączenie z internetem jest „ISO/IEC 27400:2022 Cyberbezpieczeństwo – IoT ochrona i prywatność – Wytyczne”.
– „Dobre praktyki w tym standardzie obejmują również specyficzne wymagania dla internetu rzeczy (IoT) wykorzystywanego w samochodach. Działania opisywane w tych wytycznych obejmują cały cykl życia danego produktu. Kryteria uwzględniają specyficzne wymagania różnych stron na każdym etapie cyklu życia, jak między innymi: dostawca usługi IoT, programista, użytkownik czy ekosystem użytkowania danego produktu. W normie tej znajdziemy również wskazówki dotyczące źródeł ryzyka dla systemów IoT, takich jak brak wiedzy i umiejętności osób, które pełnią role w dostarczaniu lub użytkowaniu systemu IoT, aplikacji lub usługi. Natomiast w rozdziale 7 znajdują się zabezpieczenia dotyczące całego cyklu życia systemu IoT, przykładowo kompleksowe proaktywne zarządzanie ciągłością działania czy polityki ochrony” – dodaje Tomasz Szczygieł.
Specyficzne środowisko teleinformatyczne
Opisane powyżej podejście do bezpieczeństwa jest zgodne z zasadą „secure by design”, co czyni systemy w pojazdach znacznie bezpieczniejsze, chroniąc tym samym prywatność ich użytkowników.
– „Jednak należy się zastanowić również nad bezpieczeństwem środowiska teleinformatycznego, w którym rozwiązania elektroniczne czy oprogramowania są tworzone, a następnie utrzymywane w okresie świadczenia usług. Jak pokazuje analiza zarejestrowanych incydentów, środowisko to jest atrakcyjnym celem ataków dla cyberprzestępców – uzyskują oni dostęp do dużej ilości danych użytkowników pojazdów i daje możliwość ich wykorzystywania, zaszyfrowania czy nawet szantażowania” – mówi ekspert DEKRA.
Rozwiązaniem jakie mogą zastosować firmy, by ochronić środowisko, w którym świadczy usługi, jest budowa systemu bezpieczeństwa informacji opartego na wymaganiach „ISO/IEC 27001:2022 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – Wymagania”. Można również skorzystać z bazującego na nim systemu VDA ISA, który podlega ocenie TISAX®, uwzględniającego specyficzne wymagania dla branży motoryzacyjnej.
Warto zwrócić uwagę na podejście tych standardów do bezpieczeństwa całego łańcucha dostaw. Wymagania zawarte w tych standardach nakazują przeanalizować zagrożenie związane z nawiązaniem (ale i zakończeniem) współpracy z danym dostawcą. Celem tej analizy jest określenie wymagań jakie powinien spełniać, aby zapewnić odpowiedni poziom bezpieczeństwa na każdym etapie realizacji projektu.
– „Wybór dostawcy, który posiada wdrożony i udoskonalany system bezpieczeństwa informacji pozwala utrzymać odpowiedni poziom bezpieczeństwa przy jednoczesnej optymalizacji kosztów związanych z monitorowaniem jego poziomu bezpieczeństwa. Potwierdzeniem należytej staranności dostawcy jest utrzymywanie certyfikowanego systemu zarządzania bezpieczeństwem informacji zgodnego z wymaganiami ISO/IEC 27001 oraz utrzymywanie aktualnego oznaczenia TISAX®” – komentuje Tomasz Szczygieł.
* * *
DEKRA jest globalnym liderem na rynku certyfikacji systemów zarządzania, w TOP 3 firm TIC działających w Polsce. Z jasną, ambitną wizją bycia partnerem dla bezpiecznego i zrównoważonego świata DEKRA łączy najlepszych ludzi, innowacyjne technologie i pasję do ustanawiania standardów, które zmieniają biznes na lepsze.
Działająca od niemal 100 lat na świecie -i od ponad 20 lat w Polsce- DEKRA stawia obecnie na dynamiczny rozwój usług z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji i zarządzania ciągłością działania, oraz na usługi wspierające zrównoważony rozwój organizacji i elektromobilność.
Świadomi zagrożeń i wyzwań współczesnego świata klienci DEKRA korzystają z rozwiązań, które dają im rzetelną wiedzę i praktyczne narzędzia, takie jak m.in. certyfikacja ISO 27001 i ISO 22301, czy specjalistyczne audyty (np. audyt bezpieczeństwa systemu informacyjnego dla operatorów usług kluczowych). Dzięki połączeniu wiedzy i doświadczenia ekspertów lokalnych i międzynarodowych mają oni dostęp do wszystkich potrzebnych informacji i usług z jednego, obszernego i elastycznego źródła.
