Bartek Czerwinski
24.8.24

Bezpieczeństwo na trzecim miejscu? Jak motoryzacja może sobie radzić z cyfrowymi zagrożeniami?

Jako osoba od lat głęboko zaangażowana w innowacje cyfrowe i transformację w branży motoryzacyjnej, zawsze podkreślałem, jak ważne jest wdrażanie nowych technologii. Jednak ostatni wzrost cyberataków pokazuje, że nadchodzące trzy lata będą mniej o innowacjach w handlu detalicznym, a bardziej o zabezpieczeniu procesów danych, protokołów i integracji między systemami DMS, dealerami, dostawcami zewnętrznymi oraz producentami OEM.

Dlaczego zmiana jest konieczna i pilna?

Ostatnie cyberataki w sektorze motoryzacyjnym podkreślają, jak pilne jest skupienie się na bezpieczeństwie danych. Oto kilka przykładów:

  • Atak na CDK Global w USA - ransomware sparaliżował tysiące dealerstw, powodując poważne straty finansowe.
  • Włamanie w AutoCanada - kradzież danych klientów ujawniła poważne luki w zabezpieczeniach sieci dealerskich.
  • Wyciek danych w Toyocie - hakerzy wykradli 240 GB wrażliwych informacji, wpływając na dane klientów i pracowników.
  • Atak na Sonic Automotive - długotrwała przerwa w działalności poważnie wpłynęła na sprzedaż i operacje.
  • Ataki na Pendragon i Arnold Clark w Wielkiej Brytanii - zaawansowane ransomware doprowadziły do nieautoryzowanego dostępu do kluczowych systemów i wycieku danych.
  • Niedawny atak na PGD - cyberprzestępcy sparaliżowali operacje, co dodatkowo potwierdza, że dealerstwa są łatwym celem ze względu na bogactwo przechowywanych danych.

Te incydenty pokazują, że dealerstwa są atrakcyjnym celem ze względu na ilość wrażliwych danych, jakie przechowują. Wraz z zaostrzaniem się przepisów, takich jak zaktualizowana reguła FTC Safeguards, dealerstwa muszą priorytetowo traktować bezpieczeństwo danych i zgodność z przepisami, aby uniknąć poważnych konsekwencji.

Czy skupiamy się na niewłaściwych rzeczach?

Jest jeszcze jedna kwestia, którą te incydenty ujawniły: nieadekwatność obecnych standardów, takich jak ISO 27001 i SOC 2, w kontekście specyficznych i ewoluujących zagrożeń w sektorze motoryzacyjnym. Choć te certyfikaty zapewniają podstawowy poziom bezpieczeństwa, nie są one dostosowane do specyficznych wyzwań związanych z połączonymi systemami dealerskimi i rosnącą złożonością cyberbezpieczeństwa w motoryzacji.

Potrzeba nowego standardu

Obecne standardy, takie jak ISO 27001 i SOC 2, choć wartościowe, często nie spełniają specyficznych wymagań bezpieczeństwa w dealerstwach motoryzacyjnych. Dynamicznie rozwijająca się technologia w tej branży, od connected cars po złożone ekosystemy oprogramowania, wymaga nowego standardu bezpieczeństwa, który sprosta tym wyzwaniom. Moim skromnym zdaniem taki standard powinien obejmować przynajmniej:

  • Szyfrowanie end-to-end, zapewniające pełne szyfrowanie danych zarówno w spoczynku, jak i w tranzycie.
  • Monitorowanie zagrożeń w czasie rzeczywistym, umożliwiające ciągłe monitorowanie zagrożeń we wszystkich systemach dealerskich i połączeniach z dostawcami.
  • Zaawansowane protokoły uwierzytelniania, wdrażające wieloskładnikowe i biometryczne metody uwierzytelniania, aby zabezpieczyć dostęp do wrażliwych systemów.
  • Kompleksowe centra zgodności, dostosowane do globalnych przepisów o ochronie prywatności, takich jak GDPR, a także specyficznych wymogów branży motoryzacyjnej.
  • Specyficzne dla motoryzacji zarządzanie ryzykiem, dostosowujące ramy zarządzania ryzykiem do zagrożeń związanych ze specyfiką danych, connected cars i rozległymi systemami w sieciach dealerskich i importerskich.

10-punktowy plan działania dla dealerów samochodowych:

  1. Przeprowadzaj regularne audyty bezpieczeństwa.
  2. Wdrażaj uwierzytelnianie wieloskładnikowe.
  3. Szyfruj wszystkie dane.
  4. Regularnie szkol pracowników.
  5. Opracuj plany reagowania na incydenty cyberbezpieczeństwa.
  6. Zabezpieczaj integracje z zewnętrznymi dostawcami .
  7. Regularnie aktualizuj systemy i oprogramowanie.
  8. Na bieżąco monitoruj sieci.
  9. Ograniczaj dostęp do danych na podstawie ról.
  10. Zapewniaj zgodność z nowymi standardami bezpieczeństwa.

Na koniec anegdota. Niedawno jeden z dealerów opowiedział mi historię z przeprowadzonego audytu bezpieczeństwa, który na pierwszy rzut oka przebiegł bez zarzutu. Wszystko wydawało się być pod kontrolą, aż do momentu, kiedy do jednego z punktów serwisowych przyszedł młody człowiek w okularach z plecaczkiem, który przedstawił się jako informatyk wysłany przez centralę. Bez żadnych pytań czy weryfikacji zaprowadzono go prosto do serwerowni i zaoferowano kawę. Dopiero później zorientowano się, że nie było to zaplanowane, a incydent ten ujawnił ogromną lukę w procedurach bezpieczeństwa.

Podsumowując, choć innowacje zawsze będą fundamentem rozwoju, natychmiastowym priorytetem dla dealerstw musi być zabezpieczenie danych i systemów. Opracowanie nowego, specyficznego dla branży standardu bezpieczeństwa jest kluczowe dla ochrony przed rosnącym zagrożeniem cyberataków, co ostatecznie zapewni długoterminowy sukces i bezpieczeństwo branży motoryzacyjnej.

Wspieramy dealerów i importerów motoryzacyjnych w poruszaniu się po złożonościach transformacji cyfrowej.

HomeUsługiPublikacjeKontakt
© Copyright 2024