TECNOLOGIA E SICUREZZA

Sicurezza informatica e sicurezza delle informazioni in ambito automotive: quali differenze

I principi di Information Security Management System e di Cyber Security Management System rivestono un ruolo primario anche in ambito automotive. Ecco le differenze tra ISMS e CSMS con riferimento alle attività di assessment e auditing

11 Mag 2022
R
Andrea Razzini

Cyber Security Specialist CISSP, CEH, CCSK, CompTIA

Un ISMS (Information Security Management System) ha lo scopo principale di controllare la sicurezza delle informazioni all’interno di un’organizzazione con particolare attenzione al mondo IT aziendale, ovvero ai processi di supporto a tutti i business dell’azienda.

Esiste uno standard ben noto, che è la ISO 27001, che definisce i requisiti per implementare un ISMS a livello logico, fisico e organizzativo. A sua volta, questo standard è complementato da altre norme della famiglia 2700x, ad esempio ISO IEC 27002 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni”, oppure ISO/IEC 27005 “Information technology — Security techniques — Information security risk management”.

Un CSMS (Cyber Security Management System) è dedicato specificatamente a proteggere un prodotto o sistema, eliminando le debolezze critiche che possono portare vulnerabilità nella sicurezza della rete e connettività degli oggetti IoT.

Esso consiste nelle politiche, procedure, linee guida, risorse e attività associate, gestite collettivamente da un’organizzazione, nel perseguimento della protezione dei suoi beni (asset). Si basa fondamentalmente su una valutazione del rischio e sui livelli di accettazione del rischio, analizzando i requisiti per la protezione dei beni e applicando controlli appropriati per garantire/migliorare la protezione di questi beni.

Come vedremo nel seguito sia un ISMS che CSMS devono essere soggetti ad assessment e audit.

In accordo al NIST (National Institute of Standards and Technology), un audit è “revisione ed esame indipendenti di registrazioni e attività per valutare l’adeguatezza dei controlli di sistema, per garantire la conformità con le politiche e le procedure operative stabilite”.

Un assessment, invece, è “Il processo di identificazione dei rischi per le operazioni organizzative (inclusi missione, funzioni, immagine, reputazione), asset organizzativi, individui, derivanti dal funzionamento di un sistema informativo. Parte della gestione del rischio, incorpora analisi di minacce e vulnerabilità e considera le mitigazioni fornite dai controlli di sicurezza pianificati o in atto. È una valutazione dei controlli di sicurezza gestionali, operativi e tecnici in un sistema informativo per determinare la misura in cui i controlli sono implementati correttamente. Si può considerare come sinonimo di “analisi del rischio”.

Cyber security automotive: l’importanza della sicurezza hardware nei componenti dei veicoli

Sicurezza delle informazioni in ambito automotive

Nel settore automotive, l’assessment e audit dell’ISMS viene svolto tramite attività basate su TISAX (Trusted Information Security Assessment eXchange), modello di valutazione proposto dalla VDA (Verband del Automobilindustrie) in Germania e diventato uno standard de-facto. Non viene rilasciata una vera e propria certificazione, ma una “label” che indica il livello di maturità raggiunto dall’azienda in merito ai controlli previsti dalla checklist TISAX (6 livelli, definiti nel documento VDA-ISA (Information Security Assessment)). Le macro-aree coperte da VDA-ISA sono:

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity
  1. Sicurezza delle informazioni;
  2. Protezione del prototipo;
  3. Protezione dei dati.

La scheda “Sicurezza delle informazioni” include tutti i controlli di base basati sullo standard ISO/IEC 27001. I controlli stessi sono formulati come domande. L’obiettivo del rispettivo controllo e i requisiti per raggiungerlo sono elencati nel documento di riferimento.

È necessario valutare ciascun controllo in base al grado di raggiungimento dell’obiettivo e registrare i livelli di maturità valutati di ciascun controllo. I livelli di maturità verranno automaticamente trasferiti nei “Risultati”, mostrando l’insieme della compliance a tutti i punti oggetto di valutazione. La scheda nel documento di riferimento contiene quarantuno controlli principali.

Qui nel seguito un esempio di grafico riassuntivo di valutazione Tisax.

La “Protezione del prototipo” comprende i veicoli, componenti e parti che sono classificati come richiedenti protezione ma non sono ancora stati presentati al pubblico e/o pubblicati in forma adeguata dall’OEM. La scheda nel documento di riferimento contiene ventidue controlli principali.

La “Protezione dei dati” serve solo se si stanno trattando dati personali ai sensi dell’art. 28 del Regolamento Generale UE sulla Protezione dei Dati. La scheda nel documento di riferimento contiene quattro controlli principali.

Le tipologie previste di assessment Tisax e conseguenti livelli di auditing sono tre, il primo è un self-assessment, gli altri due livelli successivi prevedono il rilascio della Label.

Gestione della sicurezza informatica in ambito automotive

Il CSMS è invece stato regolamentato da UNECE (United Nations Economic Commission for Europe) per tutti i principali costruttori di veicoli (OEM). Nota come normativa R155, definisce i requisiti di implementazione e auditing del sistema CSMS.

Il CSMS riguarda il veicolo in quanto dotato di un’infrastruttura complessa. Le apparecchiature di infotainment, il mantenimento della corsia e gli assistenti alla frenata di emergenza nei veicoli moderni sono ora di serie. Oltre alle varie unità di controllo, vengono implementate sempre più interfacce che abilitano gli attacchi. Con la guida autonoma, la comunicazione da veicolo a veicolo diventa indispensabile e si aggiungono ulteriori punti di attacco che un utente malintenzionato può sfruttare.

È essenziale che la sicurezza possa essere utilizzata per migliorare la sicurezza del veicolo e degli occupanti attraverso la security by design. Pertanto, sicurezza e protezione devono essere gestite durante tutto il ciclo di vita dei veicoli. Questo inizia con la fase di sviluppo e continua attraverso la fase di produzione fino alla fine della fase di post-produzione.

Anche il Regolamento R155 si applica ai veicoli, per quanto riguarda la sicurezza informatica, nelle Categorie M e N (ovvero veicoli per trasporto di persone o merci) . Si applica anche ai veicoli di Categoria O (ovvero rimorchi) se dotati di almeno una centralina elettronica e ai veicoli delle categorie L6 e L7 (ovvero quadricicli) se dotati di funzionalità di guida automatizzata dal livello 3 in poi, come definito nel documento di riferimento con le definizioni di guida automatizzata di cui al WP.29 e ai principi generali per lo sviluppo di un regolamento UN sui veicoli automatizzati, nonché nei documenti SAE (Society of Automotive Engineers). I livelli in questione sono mostrati nella figura seguente, ricavati dallo standard SAE J3016.

Il CSMS viene definito nella R155 come “Sistema di gestione della sicurezza informatica che indica un approccio sistematico basato sul rischio che definisce i processi organizzativi, le responsabilità e la governance per trattare i rischi associati alle minacce informatiche ai veicoli e proteggerli dagli attacchi informatici”.

Diventerà obbligatorio a partire da Luglio 2022 per le nuove immatricolazioni (Type Approval).

Lo scopo è di avere gli OEM aderenti ai requisiti di Cybersecurity e di imporre a cascata questi controlli sui fornitori di componenti (TIER1). Inoltre è fortemente collegata allo standard ISO 21434 di recente pubblicazione per i requisiti di dettaglio tecnici.

Il regolamento UN R155 specifica che gli OEM devono dimostrare l’applicazione di un CSMS con un certificato di conformità valido per un massimo di 3 anni. La valutazione associata ai requisiti di sicurezza informatica è un prerequisito per l’omologazione ma occorre tener conto anche lungo la catena del valore, poiché la gestione dei rischi lungo la catena di approvvigionamento (supply chain) fa parte dei requisiti dell’UN R155.

Qui di seguito uno schema semplificato della catena di azioni di OEMs e fornitori relativamente alla norma R155 e alla ISO 21434, su cui poi inserire il processo di Assessment e Auditing.

I punti principali di un Assessment/Audit su CSMS riguardano:

  1. aspetti organizzativi (ruoli, processi);
  2. documentazione;
  3. gestione fornitori;
  4. processo di controllo;
  5. processi di validazione.

Come detto sopra, devono essere tutti applicati lungo il ben noto ciclo di sviluppo a V dei prodotti/veicoli ma che abbraccia anche le fasi di post-sviluppo e produzione.

In particolare, nel Cap 5 della R155, viene descritto il processo di auditing attraverso le seguenti fasi:

  1. auditing on-site;
  2. trattamento delle non conformità;
  3. requisiti del team di auditing;
  4. questionario di auditing.

Lo standard ISO 5112 (Road vehicles — Guidelines for auditing cybersecurity engineering), tuttora in fase di sviluppo, sarà la guida futura per questo processo di auditing.

La VDA ha prodotto una guida per l’auditing di un CSMS in ambito automotive con un questionario basato sulla R155 ed uno schema di valutazione di 5 livelli di rischio. Il rating finale sarà su 3 livelli, sostanzialmente un “Audit passed, failed with measure to be taken, failed”.

Conclusioni

L’assessment e audit del sistema di gestione della sicurezza informatica (ISMS, CSMS) automobilistico misura l’efficacia ottimale e la compatibilità normativa come parte della garanzia della qualità del prodotto e dei processi di sviluppo. In sintesi i principali punti di attenzione sono:

  1. riconoscere i punti deboli, le lacune e le aree di miglioramento in termini di cyber security (risk assessment);
  2. applicare il regolamento UNECE sulla sicurezza informatica e i requisiti dello standard ISO/SAE 21434 (compliance assessment);
  3. sviluppare, implementare e controllare un ISMS o CSMS per garantire prodotti e servizi di qualità (auditing).

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4