Zagrożenia związane z cyberatakami dotyczą każdego z nas. Staje się to szczególnie widoczne w chwili, gdy coraz więcej naszego życia, zarówno praca jak i nauka, dzieje się online. Problemy związane z cyberbezpieczeństwem nie omijają także branży automotive. Jak zadbać o bezpieczeństwo informacji w branży motoryzacyjnej i chronić się przed zagrożeniami?
Cyfryzacja – nieodzowny element codzienności
Rok 2020 zatrzymał nas wszystkich w sferze życia osobistego, jak i zawodowego. Wiele gałęzi przemysłu takich jak: motoryzacja, gastronomia czy usługi, musiało się dostosować do nowych warunków pracy. Reorganizacja poszczególnych działów pod kątem przewidzianych budżetów i zmiany założonych do realizacji planów została z mniejszym bądź większym sukcesem wprowadzona w życie. Pandemia spowodowała też wiele zmian w nas samych. Zaczęliśmy się bać o swoje stanowiska pracy, przez co relacje międzyludzkie uległy nieodwracalnym zmianom.
Pandemia to również strach i niepokój o to, co przyniesie przyszłość. Pracodawcy często zmuszeni byli do zmian w regulaminach pracy, aby umożliwić pracę z domu. Bardzo popularny jest obecnie tzw. home office. Także przemysł związany z rozwiązaniami informatycznymi bardzo zyskał na znaczeniu. Kiedyś było nie do pomyślenia, że można przeprowadzać spotkania czy szkolenia za pośrednictwem mediów elektronicznych. Teraz w taki sposób są nawet podpisywane kontrakty. Praca w nowych realiach bardzo ułatwiła życie i jest już nieodzownym elementem codzienności.
Negatywny wpływ cyfryzacji na bezpieczeństwo informacji
Negatywna strona cyfryzacji spowodowała, że staliśmy się ofiarami wycieków informacji. Przeważnie dopuszczamy do nich nieświadomie. Zdarza się, że klikamy w linki zamieszczone w mailach, nie wiedząc, że złodziej informacji jest już po drugiej stronie i czeka na nasz kolejny ruch. Z takimi problemami przyszło nam się mierzyć nie tylko w życiu prywatnym. Dotyczy to również przemysłu, w tym branży motoryzacyjnej.
Standardy jakości pracy ulegają znaczącym zmianom. Ostatnie wydanie Zatwierdzonych interpretacji (SI) do standardu IATF 16949:2016 świetnie to uwypukla. IATF podkreśla, że w analizach ryzyka należy wziąć pod uwagę możliwości przeprowadzenia cyberataków, a w punkcie dotyczącym planów awaryjnych jest konieczność zdefiniowania działań zabezpieczających przed tego typu sytuacjami. Szczególnie narażone są informacje dotyczące technologii wykonania prototypu. W tym przypadku nieumiejętne zachowanie informacji może doprowadzić do upadku danego projektu już w jego wczesnym stadium, bądź, co gorsza, uruchomienia projektu przez konkurencję.
Jakie dane trzeba chronić, by zadbać o bezpieczeństwo informacji w przemyśle motoryzacyjnym?
Jakie informacje mamy chronić? Są to przede wszystkim dane z modeli matematycznych, zapisy z przeprowadzonych testów, oprogramowanie, za pomocą którego badane są prototypy, kody źródłowe pozwalające na wykonywanie tzw. cyber bliźniaków danego rozwiązania. W obecnym czasie samo logowanie się w postaci loginu i hasła nie jest trudną zaporą dla cyberprzestępcy. Koniecznym staje się wdrożenie technicznych zabezpieczeń systemów operacyjnych. Jednym z nich jest wielopoziomowe uwierzytelnianie (ang. 2FA- two-factor authentication). W tym przypadku oprócz loginu i hasła konieczne jest jeszcze potwierdzenie poprzez dodatkowy kod, sms lub token.
Oczywiście na rynku jest takich rozwiązań bardzo dużo. Kluczowy jest wybór takiego narzędzia, które uzyska certyfikację przez jednostkę zewnętrzną w celu potwierdzenia skuteczności tego rozwiązania.
Bezpieczeństwo informacji w branży motoryzacyjnej – jak je zapewnić?
Systemowe rozwiązanie jest wdrożone przez grupę VW, w której bezpieczeństwo informacji jest prowadzone na podstawie TISAX – systemu bezpiecznej wymiany informacji (ang. Trusted Information Security Assessment Exchange). W tym przypadku klient korzysta ze znanego standardu w tym zakresie, jakim jest VDA ISA (ang. VDA Information Security Assesment). Zakończeniem wdrażania tego standardu jest uzyskanie certyfikatu TISAX. Certyfikat jest wydawany przez niezależną akredytowaną organizacje ENX.
ENX jest stowarzyszeniem europejskich producentów pojazdów i dostawców, które monitoruje wdrożenie, wyniki, oceny i udostępnia je na swojej platformie. Ocena dokonywana jest przez akredytowanego auditora ENX. Do oceny systemu pod kątem bezpieczeństwa informacji używany jest formularz arkusza kalkulacyjnego, który składa się z szeregu zagadnień i pytań w odniesieniu do systemu zarządzania bezpieczeństwem informacji wg standardu ISO 27000 (popularnie nazywanym ISO 27k). Nadrzędnym wymaganiem staje się norma ISO 27001, która opisuje wymagania. Powiązane zagadnienia są również ujęte w normach: ISO 27002 (wytyczne związane z wdrożeniem, monitorowaniem, jak i doskonaleniem systemu zarządzania bezpieczeństwem informacji), a także ISO 27017 (określa środowisko pracy w chmurze).
Patrząc globalnie, normy serii ISO 27k dotykają różnych obszarów bezpieczeństwa informacji. Jednym z przykładów jest norma ISO 27018, która koncentruje się na ochronie danych osobowych, a norma ISO 27036 opisuje zasady bezpieczeństwa informacji w relacjach z dostawcami. W sumie norm serii ISO 27000 jest ponad 50. Oczywiście nie wszystkie z nich to standardy obowiązkowe do wprowadzenia. Są również wytyczne, do których możemy w naszym systemie się odnieść.
Z czego składa się raport VDA ISA?
Wspomniany już wyżej raport VDA ISA zbudowany jest z kilku elementów oceny systemu bezpieczeństwa informacji. Odpowiedzi na poszczególne pytania udziela się, wypełniając 6 poziomów dojrzałości, które obejmują między innymi takie obszary jak: wykonanie, zarządzanie, ustalenia oraz optymalizację. Kolejne elementy to informacje dotyczące bezpieczeństwa w odniesieniu do standardu ISO 27001, zabezpieczenie prototypów, danych zbieranych podczas projektowania, jak i tworzenia systemu, przykładowe wskaźniki (KPI). Wyniki w zakresie systemu bezpieczeństwa informacji prezentowane są w postaci przejrzystego wykresu radarowego.
Podstawą do wprowadzenia zasad wynikających z bezpieczeństwa informacji, jest zbudowanie świadomości wśród wszystkich pracowników, a przede wszystkim najwyższego kierownictwa, w odniesieniu do kosztów związanych z utratą danych i wizerunku danej organizacji. Odbudowywanie zaufania u klienta jest procesem bardzo złożonym, co w ekstremalnym przypadku może doprowadzić do braku otrzymywania zapytań ofertowych od klienta z uwagi na możliwość wycieku istotnych danych.
Autor: mgr inż. Aleksander Kulesz
