Z raportu Upstream 2023 Global Automotive Cybersecurity wynika, że w 2022 r. liczba ataków na API (interfejsy programistyczne aplikacji) w branży motoryzacyjnej wzrosła o 380%. Coraz częściej celem ataków cyberprzestępców nie są jednak bezpośrednio koncerny samochodowe (OEM-y), a ich łańcuchy dostaw. W dzisiejszym świecie, producenci podzespołów do aut mają coraz węższe specjalizacje, co powoduje, że ich łańcuchy dostaw się wydłużają. Jednocześnie ta specjalizacja powoduje bardzo wysokie koszty jakichkolwiek zakłóceń w tym procesie, a tym bardziej zmiany dostawcy.

Według badania Software Supply Chain Security, przeprowadzonego w styczniu 2022 r. przez firmę Anchore, ataki na łańcuchy dostaw dotykają 62% organizacji. Natomiast aż 83% respondentów wskazuje, że zabezpieczanie oprogramowania łańcucha dostaw właśnie przed cyberprzestępcami to istotna kwestia. Jednym z głównych czynników wpływających na występowanie cyberataków na łańcuchy dostaw jest zwiększające się wykorzystywanie oprogramowania pochodzącego z różnych źródeł. Wiele współczesnych systemów opiera się na oprogramowaniu open source oraz komponentach pochodzących od różnych producentów, co zwiększa ryzyko wystąpienia luk w zabezpieczeniach i podatności na wprowadzanie złośliwego oprogramowania lub podmianę komponentów w celu infiltracji w systemy docelowe.

Powszechnym problemem jest przyjęcie efektywnego sposobu przekazywania swoim dostawcom wymagań w zakresie bezpieczeństwa, do jakich przestrzegania dana organizacja została zobowiązana przez swojego klienta – mówi Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa w DEKRA – W tym aspekcie warto zwrócić uwagę na wybór istotnych elementów polityk bezpieczeństwa z uwagi na wpływ pracowników dostawcy na bezpieczeństwo informacji oraz ich odpowiednio szybką aktualizację w przypadku wystąpienia zmian. Należy również pamiętać o przekazywaniu tych informacji w taki sposób, aby były one w pełni zrozumiałe przez osoby bezpośrednio wykonujące zadania – dodaje ekspert DEKRA.

Kolejnym wyzwaniem jest uwzględnienie w projektach wymagań dotyczących bezpieczeństwa informacji, które są istotne dla przetwarzanych danych. Dobre podejście polega na wykorzystaniu już istniejącego w organizacji schematu klasyfikacji informacji i włączeniu działań związanych z bezpieczeństwem informacji w „kamienie milowe” projektu. Może to obejmować ocenę ryzyka bezpieczeństwa informacji na kolejnym etapie, co pozwoli na identyfikację nowych zagrożeń, które mogą się pojawić. Należy również przeprowadzić szkolenia pracowników dotyczące nowo zidentyfikowanych zagrożeń i sposobów radzenia sobie z nimi.

Doświadczenia audytowe wskazują również na trudności organizacji w zidentyfikowaniu i rejestrowaniu zasobów informacyjnych. W tym zakresie można wspomóc się definicją aktywów zawartą w ISO 27005, według której możemy podzielić je na aktywa podstawowe (np. procesy biznesowe, informacje) i aktywa pomocnicze (np. sprzęt, oprogramowanie, informacje). Warto też zwrócić uwagę, że opisany podział aktywów oraz wskazanie aktywów pomocniczych wspierających dane aktywów podstawowych jest pierwszym krokiem do przygotowania strategii zapewnienia ciągłości ochrony informacji dopasowanej odpowiednio do danej organizacji. Dodatkowo, jednym ze sposobów ochrony przed cyberatakami jest zapewnienie odpowiedniego poziomu ochrony za pomocą systemu oceny TISAX, bazującej na katalogu wymagań w zakresie bezpieczeństwa informacji VDA ISA.

Nie ulega wątpliwości, że dostawcy muszą podejść do zabezpieczania oprogramowania łańcucha dostaw bardziej holistycznie, a także skoncentrować się na weryfikacji, monitorowaniu i analizie komponentów oprogramowania oraz na stosowaniu najlepszych praktyk w zarządzaniu ryzykiem – podsumowuje Tomasz Szczygieł.

Świadomość zagrożeń i ciągłe doskonalenie procesów związanych z bezpieczeństwem oprogramowania są kluczowe dla ochrony łańcuchów dostaw przed atakami cyberprzestępców.

Źródło: DEKRA