Producenci samochodów nieustannie zajmują się doskonaleniem bezpieczeństwa. Testy zderzeniowe, poduszki powietrzne i normy ISO zmieniły nasze myślenie o jakości pojazdów. Współcześnie motoryzacja przechodzi jednak przez nowy, ważny „crash test”: z zakresu cyberbezpieczeństwa. – Rośnie presja prawna, oczekiwania klientów, a cyberprzestępcy są coraz bardziej pomysłowi. Dlatego ten obszar powinien stać się priorytetem nie tylko dla największych producentów ale także ich poddostawców – podkreślają eksperci.
Więcej możliwości dla producentów…i dla cyberprzestępców
Współczesny pojazd może składać się z nawet 30 000 komponentów, dostarczanych przez licznych poddostawców. Globalizacja bez wątpienia pozwoliła producentom rozszerzyć łańcuchy dostaw, redukując koszty i otwierając nowe rynki. Ta nowa rzeczywistość to jednak także nowe zagrożenia z zakresu cyberbezpieczeństwa. Pojedyncze słabe ogniwo, np. luka w oprogramowaniu, sprzęcie, czy operacjach, może skutkować konkretnymi zagrożeniami bezpieczeństwa fizycznego i prywatności danych. Potencjalne konsekwencje takiego incydentu to np. wstrzymanie produkcji i straty finansowe liczone w miliardach oraz utrata innej niezwykle ważnej waluty – zaufania konsumentów.
W czerwcu 2024 roku firma CDK Global, dostawca oprogramowania dla 15 000 salonów samochodowych w USA, padła ofiarą ataku ransomware. Trzytygodniowy przestój operacyjny spowodował szacunkowe straty w wysokości 1,02 miliarda dolarów. Objęły one m.in. zakłócenia sprzedaży nowych aut (ok. 56 200 egzemplarzy) i handlu autami używanymi. Spadły także przychody z części i serwisu, a zwiększyły się wydatki na personel i IT. Kolejnymi kosztami okazały się te związane z opłatami wymuszonymi przez ransomware, obsługą prawną oraz obowiązkowymi zmianami operacyjnymi, które nastąpiły po incydencie.
Kolejnym przykładem pokazującym, jak działania cyberprzestępców wpływają na dostawców zewnętrznych, gospodarki regionalne, a nawet międzynarodowe łańcuchy dostaw, jest niedawny atak na Jaguar Land Rover. Według Cyber Monitoring Centre (CMC) w Wielkiej Brytanii przełożył się on na straty biznesowe na poziomie 1,9 miliarda funtów i dotknął ponad 5000 firm i dostawców. Były to gównie małe i średnie przedsiębiorstwa, dla których takie ataki są wyjątkowo niebezpieczne.
Presja regulacyjna
Środowisko regulacyjne stara się doganiać obecną rzeczywistość. Kwestie ważne dla branży automotive regulują m.in. unijny akt o cyberodporności (Cyber Resilience Act) oraz norma ISO/SAE 21434. Producenci pojazdów są obecnie zobowiązani do wdrażania praktyk cyberbezpieczeństwa w całym cyklu życia produktu – od projektu i produkcji po aktualizacje posprzedażowe. Co więcej, pod lupą znalazła się przejrzystość łańcucha dostaw. Podkreśla to unijna dyrektywa NIS2, która dotyczy nie tylko producentów, ale rozkłada obciążenia regulacyjne na wiele poziomów łańcucha dostaw.
Dane pokazują, że takie zmiany są zgodne z oczekiwaniami klientów. Aż 83% badanych kierowców chce, aby producenci pojazdów ujawniali pochodzenie oprogramowania, a 77% postrzega komponenty od zewnętrznych dostawców jako potencjalne ryzyko. Ogólna świadomość znaczenia tzw. suwerenności cyfrowej rośnie także w sektorze biznesowym, również w Polsce. Jak pokazuje raport Cyberportret polskiego biznesu 2025 opublikowany przez ESET i DAGMA
Bezpieczeństwo IT, aż 71% dużych firm deklaruje, że przywiązuje wagę do wpływu pochodzenia technologii na bezpieczeństwo cyfrowe, w porównaniu do 65% małych i 62% średnich przedsiębiorstw.
Firmy zaczynają analizować cyfrowy „rodowód” narzędzi – nie tylko pod kątem zgodności z przepisami, ale także w kontekście budowania autonomii technologicznej i odporności operacyjnej na globalne kryzysy. Obejmuje to cyfrowy łańcuch dostaw, gdzie błędy popełnione przez pozornie niepowiązane podmioty (jak outsourcing wsparcia IT) mogą sparaliżować globalne operacje – dokładnie tak, jak stało się to w przypadku Jaguar Land Rover.
Czujność 24/7
– W przypadku tak wymagającej branży, jaką jest automotive, budowanie skutecznych rozwiązań z zakresu cyberbezpieczeństwa musi być procesem ciągłym i proaktywnym. Dostawcy, którzy wcześnie zadbają o odpowiednie standardy, zwłaszcza ci aktywnie zarządzający podatnościami w łańcuchu dostaw, wyróżnią się na rynku, który coraz częściej utożsamia bezpieczeństwo z niezawodnością. Tutaj właściwe będą przede wszystkim rozwiązania MDR, które łączą automatyzację opartą na AI z wiedzą ludzką i kompleksową analityką zagrożeń. To m.in. monitoring zagrożeń 24/7, pozwalający wyłapać nieprawidłowości po podejrzanych aktualizacjach oprogramowania, naruszeniach dostępu czy nietypowych zachowaniach użytkowników. Dzięki temu firmy mogą się skupić na zadaniach, które są sednem ich działalności – mówi Kamil Sadkowski, analityk cyberzagrożeń ESET.
Wyzwania dla branży automotive są zatem czytelne: nie wystarczy już zbudować wysokiej jakości komponentu; trzeba udowodnić, że każda linia kodu, każdy dostawca i każdy moduł zewnętrzny spełniają wyśrubowane standardy cyberbezpieczeństwa. Kluczem jest wybór takich rozwiązań, które odpowiedzą na oczekiwania klientów, prawodawców i jednocześnie – skutecznie zablokują wysiłki cyberprzestępców. To wyzwanie i odpowiedzialność nie tylko dla dużych producentów, ale także ich poddostawców – a więc niejednokrotnie firm z sektora MŚP.