Un ISMS (Information Security Management System) ha lo scopo principale di controllare la sicurezza delle informazioni all’interno di un’organizzazione con particolare attenzione al mondo IT aziendale, ovvero ai processi di supporto a tutti i business dell’azienda.
Esiste uno standard ben noto, che è la ISO 27001, che definisce i requisiti per implementare un ISMS a livello logico, fisico e organizzativo. A sua volta, questo standard è complementato da altre norme della famiglia 2700x, ad esempio ISO IEC 27002 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni”, oppure ISO/IEC 27005 “Information technology — Security techniques — Information security risk management”.
Un CSMS (Cyber Security Management System) è dedicato specificatamente a proteggere un prodotto o sistema, eliminando le debolezze critiche che possono portare vulnerabilità nella sicurezza della rete e connettività degli oggetti IoT.
Esso consiste nelle politiche, procedure, linee guida, risorse e attività associate, gestite collettivamente da un’organizzazione, nel perseguimento della protezione dei suoi beni (asset). Si basa fondamentalmente su una valutazione del rischio e sui livelli di accettazione del rischio, analizzando i requisiti per la protezione dei beni e applicando controlli appropriati per garantire/migliorare la protezione di questi beni.
Come vedremo nel seguito sia un ISMS che CSMS devono essere soggetti ad assessment e audit.
In accordo al NIST (National Institute of Standards and Technology), un audit è “revisione ed esame indipendenti di registrazioni e attività per valutare l’adeguatezza dei controlli di sistema, per garantire la conformità con le politiche e le procedure operative stabilite”.
Un assessment, invece, è “Il processo di identificazione dei rischi per le operazioni organizzative (inclusi missione, funzioni, immagine, reputazione), asset organizzativi, individui, derivanti dal funzionamento di un sistema informativo. Parte della gestione del rischio, incorpora analisi di minacce e vulnerabilità e considera le mitigazioni fornite dai controlli di sicurezza pianificati o in atto. È una valutazione dei controlli di sicurezza gestionali, operativi e tecnici in un sistema informativo per determinare la misura in cui i controlli sono implementati correttamente. Si può considerare come sinonimo di “analisi del rischio”.
Cyber security automotive: l’importanza della sicurezza hardware nei componenti dei veicoli
Indice degli argomenti
Sicurezza delle informazioni in ambito automotive
Nel settore automotive, l’assessment e audit dell’ISMS viene svolto tramite attività basate su TISAX (Trusted Information Security Assessment eXchange), modello di valutazione proposto dalla VDA (Verband del Automobilindustrie) in Germania e diventato uno standard de-facto. Non viene rilasciata una vera e propria certificazione, ma una “label” che indica il livello di maturità raggiunto dall’azienda in merito ai controlli previsti dalla checklist TISAX (6 livelli, definiti nel documento VDA-ISA (Information Security Assessment)). Le macro-aree coperte da VDA-ISA sono:
- Sicurezza delle informazioni;
- Protezione del prototipo;
- Protezione dei dati.
La scheda “Sicurezza delle informazioni” include tutti i controlli di base basati sullo standard ISO/IEC 27001. I controlli stessi sono formulati come domande. L’obiettivo del rispettivo controllo e i requisiti per raggiungerlo sono elencati nel documento di riferimento.
È necessario valutare ciascun controllo in base al grado di raggiungimento dell’obiettivo e registrare i livelli di maturità valutati di ciascun controllo. I livelli di maturità verranno automaticamente trasferiti nei “Risultati”, mostrando l’insieme della compliance a tutti i punti oggetto di valutazione. La scheda nel documento di riferimento contiene quarantuno controlli principali.
Qui nel seguito un esempio di grafico riassuntivo di valutazione Tisax.
La “Protezione del prototipo” comprende i veicoli, componenti e parti che sono classificati come richiedenti protezione ma non sono ancora stati presentati al pubblico e/o pubblicati in forma adeguata dall’OEM. La scheda nel documento di riferimento contiene ventidue controlli principali.
La “Protezione dei dati” serve solo se si stanno trattando dati personali ai sensi dell’art. 28 del Regolamento Generale UE sulla Protezione dei Dati. La scheda nel documento di riferimento contiene quattro controlli principali.
Le tipologie previste di assessment Tisax e conseguenti livelli di auditing sono tre, il primo è un self-assessment, gli altri due livelli successivi prevedono il rilascio della Label.
Gestione della sicurezza informatica in ambito automotive
Il CSMS è invece stato regolamentato da UNECE (United Nations Economic Commission for Europe) per tutti i principali costruttori di veicoli (OEM). Nota come normativa R155, definisce i requisiti di implementazione e auditing del sistema CSMS.
Il CSMS riguarda il veicolo in quanto dotato di un’infrastruttura complessa. Le apparecchiature di infotainment, il mantenimento della corsia e gli assistenti alla frenata di emergenza nei veicoli moderni sono ora di serie. Oltre alle varie unità di controllo, vengono implementate sempre più interfacce che abilitano gli attacchi. Con la guida autonoma, la comunicazione da veicolo a veicolo diventa indispensabile e si aggiungono ulteriori punti di attacco che un utente malintenzionato può sfruttare.
È essenziale che la sicurezza possa essere utilizzata per migliorare la sicurezza del veicolo e degli occupanti attraverso la security by design. Pertanto, sicurezza e protezione devono essere gestite durante tutto il ciclo di vita dei veicoli. Questo inizia con la fase di sviluppo e continua attraverso la fase di produzione fino alla fine della fase di post-produzione.
Anche il Regolamento R155 si applica ai veicoli, per quanto riguarda la sicurezza informatica, nelle Categorie M e N (ovvero veicoli per trasporto di persone o merci) . Si applica anche ai veicoli di Categoria O (ovvero rimorchi) se dotati di almeno una centralina elettronica e ai veicoli delle categorie L6 e L7 (ovvero quadricicli) se dotati di funzionalità di guida automatizzata dal livello 3 in poi, come definito nel documento di riferimento con le definizioni di guida automatizzata di cui al WP.29 e ai principi generali per lo sviluppo di un regolamento UN sui veicoli automatizzati, nonché nei documenti SAE (Society of Automotive Engineers). I livelli in questione sono mostrati nella figura seguente, ricavati dallo standard SAE J3016.
Il CSMS viene definito nella R155 come “Sistema di gestione della sicurezza informatica che indica un approccio sistematico basato sul rischio che definisce i processi organizzativi, le responsabilità e la governance per trattare i rischi associati alle minacce informatiche ai veicoli e proteggerli dagli attacchi informatici”.
Diventerà obbligatorio a partire da Luglio 2022 per le nuove immatricolazioni (Type Approval).
Lo scopo è di avere gli OEM aderenti ai requisiti di Cybersecurity e di imporre a cascata questi controlli sui fornitori di componenti (TIER1). Inoltre è fortemente collegata allo standard ISO 21434 di recente pubblicazione per i requisiti di dettaglio tecnici.
Il regolamento UN R155 specifica che gli OEM devono dimostrare l’applicazione di un CSMS con un certificato di conformità valido per un massimo di 3 anni. La valutazione associata ai requisiti di sicurezza informatica è un prerequisito per l’omologazione ma occorre tener conto anche lungo la catena del valore, poiché la gestione dei rischi lungo la catena di approvvigionamento (supply chain) fa parte dei requisiti dell’UN R155.
Qui di seguito uno schema semplificato della catena di azioni di OEMs e fornitori relativamente alla norma R155 e alla ISO 21434, su cui poi inserire il processo di Assessment e Auditing.
I punti principali di un Assessment/Audit su CSMS riguardano:
- aspetti organizzativi (ruoli, processi);
- documentazione;
- gestione fornitori;
- processo di controllo;
- processi di validazione.
Come detto sopra, devono essere tutti applicati lungo il ben noto ciclo di sviluppo a V dei prodotti/veicoli ma che abbraccia anche le fasi di post-sviluppo e produzione.
In particolare, nel Cap 5 della R155, viene descritto il processo di auditing attraverso le seguenti fasi:
- auditing on-site;
- trattamento delle non conformità;
- requisiti del team di auditing;
- questionario di auditing.
Lo standard ISO 5112 (Road vehicles — Guidelines for auditing cybersecurity engineering), tuttora in fase di sviluppo, sarà la guida futura per questo processo di auditing.
La VDA ha prodotto una guida per l’auditing di un CSMS in ambito automotive con un questionario basato sulla R155 ed uno schema di valutazione di 5 livelli di rischio. Il rating finale sarà su 3 livelli, sostanzialmente un “Audit passed, failed with measure to be taken, failed”.
Conclusioni
L’assessment e audit del sistema di gestione della sicurezza informatica (ISMS, CSMS) automobilistico misura l’efficacia ottimale e la compatibilità normativa come parte della garanzia della qualità del prodotto e dei processi di sviluppo. In sintesi i principali punti di attenzione sono:
- riconoscere i punti deboli, le lacune e le aree di miglioramento in termini di cyber security (risk assessment);
- applicare il regolamento UNECE sulla sicurezza informatica e i requisiti dello standard ISO/SAE 21434 (compliance assessment);
- sviluppare, implementare e controllare un ISMS o CSMS per garantire prodotti e servizi di qualità (auditing).
