Z raportu Upstream 2023 Global Automotive Cybersecurity wynika, że w 2022 r. liczba ataków na API (interfejsy programistyczne aplikacji) w branży motoryzacyjnej wzrosła o 380%[1]. Coraz częściej celem ataków cyberprzestępców nie są jednak bezpośrednio koncerny samochodowe (OEM-y), a ich łańcuchy dostaw. W dzisiejszym świecie, producenci podzespołów do aut mają coraz węższe specjalizacje, co powoduje, że ich łańcuchy dostaw się wydłużają. Jednocześnie ta specjalizacja powoduje bardzo wysokie koszty jakichkolwiek zakłóceń w tym procesie, a tym bardziej zmiany dostawcy.
Według badania Software Supply Chain Security, przeprowadzonego w styczniu 2022 r. przez firmę Anchore, ataki na łańcuchy dostaw dotykają 62% organizacji. Natomiast aż 83% respondentów wskazuje, że zabezpieczanie oprogramowania łańcucha dostaw właśnie przed cyberprzestępcami to istotna kwestia.[2] Jednym z głównych czynników wpływających na występowanie cyberataków na łańcuchy dostaw jest zwiększające się wykorzystywanie oprogramowania pochodzącego z różnych źródeł. Wiele współczesnych systemów opiera się na oprogramowaniu open source oraz komponentach pochodzących od różnych producentów, co zwiększa ryzyko wystąpienia luk w zabezpieczeniach i podatności na wprowadzanie złośliwego oprogramowania lub podmianę komponentów w celu infiltracji w systemy docelowe.
– Powszechnym problemem jest przyjęcie efektywnego sposobu przekazywania swoim dostawcom wymagań w zakresie bezpieczeństwa, do jakich przestrzegania dana organizacja została zobowiązana przez swojego klienta – mówi Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa w DEKRA. – W tym aspekcie warto zwrócić uwagę na wybór istotnych elementów polityk bezpieczeństwa z uwagi na wpływ pracowników dostawcy na bezpieczeństwo informacji oraz ich odpowiednio szybką aktualizację w przypadku wystąpienia zmian. Należy również pamiętać o przekazywaniu tych informacji w taki sposób, aby były one w pełni zrozumiałe przez osoby bezpośrednio wykonujące zadania – dodaje ekspert DEKRA.
Kolejnym wyzwaniem jest uwzględnienie w projektach wymagań dotyczących bezpieczeństwa informacji, które są istotne dla przetwarzanych danych. Dobre podejście polega na wykorzystaniu już istniejącego w organizacji schematu klasyfikacji informacji i włączeniu działań związanych z bezpieczeństwem informacji w „kamienie milowe” projektu. Może to obejmować ocenę ryzyka bezpieczeństwa informacji na kolejnym etapie, co pozwoli na identyfikację nowych zagrożeń, które mogą się pojawić. Należy również przeprowadzić szkolenia pracowników dotyczące nowo zidentyfikowanych zagrożeń i sposobów radzenia sobie z nimi.
Doświadczenia audytowe wskazują również na trudności organizacji w zidentyfikowaniu i rejestrowaniu zasobów informacyjnych. W tym zakresie można wspomóc się definicją aktywów zawartą w ISO 27005, według której możemy podzielić je na aktywa podstawowe (np. procesy biznesowe, informacje) i aktywa pomocnicze (np. sprzęt, oprogramowanie, informacje). Warto też zwrócić uwagę, że opisany podział aktywów oraz wskazanie aktywów pomocniczych wspierających dane aktywów podstawowych jest pierwszym krokiem do przygotowania strategii zapewnienia ciągłości ochrony informacji dopasowanej odpowiednio do danej organizacji. Dodatkowo, jednym ze sposobów ochrony przed cyberatakami jest zapewnienie odpowiedniego poziomu ochrony za pomocą systemu oceny TISAX, bazującej na katalogu wymagań w zakresie bezpieczeństwa informacji VDA ISA.
– Nie ulega wątpliwości, że dostawcy muszą podejść do zabezpieczania oprogramowania łańcucha dostaw bardziej holistycznie, a także skoncentrować się na weryfikacji, monitorowaniu i analizie komponentów oprogramowania oraz na stosowaniu najlepszych praktyk w zarządzaniu ryzykiem – podsumowuje Tomasz Szczygieł. Świadomość zagrożeń i ciągłe doskonalenie procesów związanych z bezpieczeństwem oprogramowania są kluczowe dla ochrony łańcuchów dostaw przed atakami cyberprzestępców.
DEKRA
DEKRA jest globalnym liderem na rynku certyfikacji systemów zarządzania, w TOP 3 firm TIC działających w Polsce. Z jasną, ambitną wizją bycia partnerem dla bezpiecznego i zrównoważonego świata DEKRA łączy najlepszych ludzi, innowacyjne technologie i pasję do ustanawiania standardów, które zmieniają biznes na lepsze.
Działająca od niemal 100 lat na świecie – i od ponad 20 lat w Polsce – DEKRA stawia obecnie na dynamiczny rozwój usług z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji i zarządzania ciągłością działania, oraz na usługi wspierające zrównoważony rozwój organizacji i elektromobilność.
Świadomi zagrożeń i wyzwań współczesnego świata klienci DEKRA korzystają z rozwiązań, które dają im rzetelną wiedzę i praktyczne narzędzia, takie jak m.in. certyfikacja ISO 27001 i ISO 22301, czy specjalistyczne audyty (np. audyt bezpieczeństwa systemu informacyjnego dla operatorów usług kluczowych). Dzięki połączeniu wiedzy i doświadczenia ekspertów lokalnych i międzynarodowych mają oni dostęp do wszystkich potrzebnych informacji i usług z jednego, obszernego i elastycznego źródła.
[1] https://upstream.auto/reports/global-automotive-cybersecurity-report/
[2] https://anchore.com/blog/2022-security-trends-software-supply-chain-survey/
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS