TISAX VDA-ISA versione 6 – La sicurezza nell’ambito automotive in continua evoluzione

A cura di:Fabrizio Bizzo e Paolo Sferlazza Ore

Introduzione

In un contesto globale sempre più digitalizzato, e dove il rischio derivante da incidenti legati alla cybersecurity è ormai stabile nelle prime posizioni della classifica dei rischi più importanti per il business (fonte Allianz Risk Barometer), la sicurezza delle informazioni, insieme alla resilienza delle infrastrutture e dei sistemi, sono temi non più procrastinabili per tutte le organizzazioni.

In questa direzione si è mossa anche la VDA (l’Associazione dell’Industria Automobilistica Tedesca), apportando un’importante modifica al proprio meccanismo di auditing e valutazione TISAX (Trusted Information Security Assessment Exchange) con l’aggiornamento alla versione 6 della VDA-ISA (Information Security Assessment).

La VDA-ISA rappresenta il catalogo dei controlli previsti per la valutazione della postura di sicurezza, con l’obiettivo di definire la linea di base e lo stato dell’arte per la sicurezza informatica e delle informazioni delle organizzazioni dell’industria automobilistica.

La versione 6 rilasciata ad Ottobre 2023 (il cui utilizzo diventerà obbligatorio a partire da Aprile 2024) introduce importanti novità strutturali negli obiettivi di sicurezza da raggiungere; infatti, oltre alla riservatezza delle informazioni, ora si aggiunge l’alta disponibilità dei sistemi e delle infrastrutture. Allo stesso tempo si allarga anche il campo di applicazione, che passa dal solo ambito IT (Information Technology) anche all’ambito OT (Operation Technology). Vediamo nel dettaglio questi importanti aspetti.

Disponibilità e resilienza nella catena di fornitura

Nelle precedenti versioni della, e nelle precedenti valutazioni, l’elemento portante è sempre stato la salvaguardia della riservatezza delle informazioni all’interno della filiera produttiva (le informazioni da proteggere sono rappresentate da segreti industriali, da know how specifici, da conoscenze tecniche dal valore altamente strategico in termini concorrenziali).

I nuovi scenari di rischio e i nuovi vettori di attacco (con in primis il rischio del blocco di produzione come conseguenza di un attacco ransomware) hanno però portato alla consapevolezza che la perdita di riservatezza delle informazioni non fosse l’unico rischio da affrontare e mitigare nell’ambito automotive.

Di conseguenza, il focus è stato posto anche sulla disponibilità delle informazioni e di tutti gli asset tecnologici, sia IT che OT, a supporto dei processi produttivi. In una filiera fortemente integrata, e con processi sempre più real-time, qualsiasi blocco imprevisto delle forniture ai vari livelli della catena avrebbe un impatto fortemente negativo nella produzione finale delle automobili, con conseguenze negative in tutto il comparto.

 

Grazie a queste valutazioni è quindi maturata un’importante considerazione: la necessità di rafforzare tutte le misure protettive, e proprio con questo intento sono stati integrati all’interno della nuova VDA-ISA anche i requisiti dello standard per la sicurezza dei sistemi industriali e dell’automazione ISA/IEC 62443-2-1 (“Security program requirements for IACS asset owners”). Tutti i requisiti rilevanti all’interno della VDA-ISA 6.0 sono stati quindi allineati e mappati con i relativi requisiti dello standard ISA/IEC 62443-2-1.

Nella stessa direzione del miglioramento della fase di protezione, va letto anche l’inserimento del nuovo controllo 1.3.4 per la corretta valutazione e gestione del software da utilizzare all’interno delle organizzazioni. Nell’intento poi di prevenire il più possibile gli attacchi, nuovi requisiti sono stati aggiunti per alcuni controlli già esistenti; ad esempio, per i controlli 5.2.6 e 5.3.1 i nuovi requisiti hanno l’obiettivo di garantire delle analisi ponderate, in termini di sicurezza, per i sistemi e i servizi e di eseguire, per quelli ritenuti critici, specifici audit e assessment alla ricerca di vulnerabilità.

Ben consapevoli dell’impossibilità di azzerare il rischio da attacchi informatici potenzialmente bloccanti, risulta essenziale avere un corretto approccio per individuare, contenere e minimizzare gli effetti di un attacco qualora andasse a buon fine. Il primo elemento chiave di questo approccio risulta essere la pronta individuazione di qualsiasi evento o indicatore dell’inizio di una possibile minaccia. Con questo obiettivo è stato inserito il nuovo controllo 1.6.1, in modo che sia chiaro (anche grazie ad una preventiva ed opportuna formazione di tutto il personale) come riconoscere le potenziali minacce e quando riportarle al personale tecnico, nella maniera più efficace ed opportuna possibile.

Oltre ad un rapido riconoscimento delle attività malevoli in corso (compresi i modelli di attacchi sofisticati), in caso di un attacco è necessaria una risposta tempestiva e coordinata e con questo obiettivo è stato inserito il nuovo controllo 1.6.2. Quest’ultimo, infatti, garantisce una gestione ordinata e professionale degli incidenti di sicurezza, con una particolare attenzione anche all’aspetto della corretta comunicazione verso tutti gli stakeholders interessati (clienti, fornitori ecc).

Sempre nell’ambito di una risposta efficace agli eventi, e di una riduzione dell’impatto negativo degli stessi, si inquadra anche la definizione e l’esecuzione di una robusta pianificazione della continuità operativa introdotta grazie al nuovo controllo 5.2.8. Ciò prevede non solo sistemi critici ridondati e indipendenti, ma include anche una valutazione di tutte le varie contingenze che si possono presentare e per le quali definire adeguate modalità operative di emergenza. Grazie poi al nuovo controllo 5.2.9 (che garantisce un solido piano di backup) si vuole raggiungere l’obiettivo di mantenere sempre attivi i processi aziendali chiave, così da ottenere un livello di resilienza tale da non pregiudicare la catena produttiva. Qualora però si concretizzasse il caso peggiore, e si avesse un’interruzione totale dei processi (per la nuova la VDA-ISA 6.0 questa viene definita crisi), il nuovo controllo 1.6.3 dovrebbe garantire all’organizzazione una preparazione sufficientemente robusta atta a gestire la situazione per un pronto rientro dalla crisi stessa.

Modifiche agli obiettivi dell’assessment e alle LABEL TISAX

L’introduzione del nuovo aspetto della disponibilità porta una sostanziale modifica agli obiettivi dell’assessment Tisax e alla definizione delle LABEL Tisax. Nel dettaglio, la LABEL attuale “Handling of Information with High Protection Need” (“Info High”) sarà suddivisa in “Confidential” and “High Availability”. Alla stessa maniera l’attuale LABEL “Handling of information with Very High Protection Need” sarà suddivisa in “Strictly Confidential” and “Very High Availability” come di seguito rappresentato (cfr . TISAX Participant Handbook).

Con la nuova impostazione degli obiettivi di assessment, nell’utilizzo del catalogo dei controlli “Information Security” della nuova VDA-ISA 6.0 si deve quindi tenere in considerazione i seguenti aspetti:

  • “Confidential” copre tutti i requisiti base e i requisiti aggiuntivi per “high protection need” che sono indicati con la lettera “C”.
  • “High Availability” copre tutti i requisiti base e i requisiti aggiuntivi per “high protection need” che sono indicati con la lettera “A”.
  • “Strictly Confidential” copre tutti i requisiti base e i requisiti aggiuntivi per “high and very high protection need” che sono indicati con la lettera “C”
  • “Very High Availability” copre tutti i requisiti base e i requisiti aggiuntivi per “high and very high protection need” che sono indicati con la lettera “A.”

Come si nota i nuovi obbiettivi di audit sono un sottoinsieme degli obiettivi “Info High” e “Info Very High” presenti nella precedente versione; questa suddivisione non introduce comunque alcuna modifica ai livelli di assessment (AL Tisax).

No. TISAX assessment objective Assessment level (AL)
1. Info high AL 2
2. Info Very high AL 3
3. High availability AL 2
4. Very high availability AL 3
5. Proto parts AL 3
6. Proto vehicles AL 3
7. Test vehicles AL 3
8. Proto events AL 3
9. Data AL 2
10. Special data AL 3

 

Tempistiche e transizione alla nuova VDA-ISA e alle nuove LABELs

Dal punto di vista delle tempistiche, per l’entrata in vigore delle nuove LABELs e dell’utilizzo della nuova versione del catalogo VDA-ISA 6.0 la road map da seguire risulta essere la seguente:

  • L’attuale VDA ISA sarà valida fino al 31/03/2024;
  • La nuova VDA ISA in versione 6.0 con i nuovi livelli di LABEL (Availability High/Availability Very High, Confidential/Strictly Confidential) sarà già disponibili da Gennaio 2023 per coprire il periodo di transizione (secondo gli accorgimenti visti in precedenza), e sarà poi l’unica in vigore a partire dal 01/04/2024;
  • Il catalogo VDI-ISA 6.0 sarà obbligatorio per tutti gli assessment nuovi a partire dal 01/04/2023;

Da notare che tutti gli assessment per i quali la data del contratto con l’audit provider (per l’esecuzione dell’assessment iniziale) è antecedente ad Aprile 2024 possono continuare ad essere eseguiti sulla base della VDI-ISA 5.1, quelli con data successiva dovranno invece utilizzare obbligatoriamente la nuova versione 6.0 (ISA 6 will become mandatory for all new TISAX Assessments that are ordered after April 1st 2024. Audits that have been started according to the old ISA 5.1 standard (including corrective-action-plan assessments, follow-ups, and scope-extension-assessments) can still be completed using the old standard.).[1]

Conclusioni

A completamento dei nuovi controlli sopra descritti, e dei nuovi requisiti aggiunti per i controlli già esistenti, tra le altre novità dell’ultima versione della VDI-ISA 6.0 annoveriamo anche l’aggiunta dei riferimenti a standard e framework internazionali di settore. Oltre ad aggiornare i riferimenti alla nuova versione dello standard ISO 27001:2022, sono stati inseriti i riferimenti ai controlli dello standard ISA/IEC 62443-2-1 e quelli ai controlli del framework NIST CSF 1.1. Con l’obiettivo di fornire un ulteriore aiuto all’applicazione di tutti i vari controlli è stato inserito anche un apposito riferimento a due importanti guide implementative (la NIST SP 800-53 e il BSI IT-Grundschutz).

Sicuramente tutti questi cambiamenti rivestiranno un’enorme importanza per l’industria automobilistica e costituiranno un grande passo avanti nel processo di miglioramento della postura di sicurezza di tutte le organizzazioni del settore; allo stesso tempo, però, rappresenteranno anche una sfida considerevole per le stesse organizzazioni.

Note

[1] https://portal.enx.com/en-US/TISAX/

 

Articolo a cura di Fabrizio Bizzo e Paolo Sferlazza

Profilo Autore
Fabrizio Bizzo

Security Advisor presso Gerico Security Srl, esegue attività di progettazione, sviluppo, prevendita ed erogazione di servizi di consulenza in ambito Information&Cyber Security e IT Governance. Lead Auditor ISO/IEC 27001 e in possesso di diverse certificazioni tecniche in ambito cloud e security operations (CCSK Certified Cloud Security Knowledge, Microsoft Azure Fundamentals, AWS Certified Cloud Practitioner, CompTIA CySA+). Supporta i clienti per il raggiungimento della conformità allo standard di settore TISAX per la sicurezza delle informazioni per il settore specifico dell’automotive.”

Profilo Autore
Paolo Sferlazza

Socio fondatore di Gerico Security Srl lavora come advisor, auditor e trainer nel campo della sicurezza delle informazioni, continuità operativa, gestione dei servizi IT e sicurezza delle carte di pagamento.
Ha accompagnato primarie aziende e infrastrutture critiche italiane nell’ottenimento della certificazione ISO/IEC 27001, ISO 22301 e ISO/IEC 20000.
È un Qualified Security Assessor riconosciuto dal PCI Council per la certificazione dei sistemi di pagamento PCI DSS. Ha conseguito la certificazione CISA, CISM, CRISC di ISACA, ed è auditor qualificato e tiene docenze sugli schemi ISO/IEC 27001, ISO 22301, ISO/IEC 27001 e ISO 9001 ed è iscritto ai registri AICQ SICEV quale auditor sulla sicurezza delle informazioni e continuità operativa. Ha inoltre ottenuto altre certificazioni nel campo della sicurezza delle informazioni e dell’IT governance tra cui OPST, COBIT e ITIL. Ha progettato ed erogato docenze, anche in ambito militare, su tematiche di Information Risk Management, ITIL. Ha effettuato audit interno, assessment e consulenza in merito all’accreditamento dei laboratori VA rispetto alla 17025. Si occupa si sicurezza delle informazioni nel mondo specifico dell’automotive in conformità con lo standard di settore TISAX.
Collabora con primari enti di certificazione come auditor di terza parte.

Altri Articoli
Condividi sui Social Network:

Articoli simili

L’accreditamento dei laboratori che effettuano Vulnerability Assessment

L’accreditamento dei laboratori che effettuano Vulnerability Assessment

A cura di:Paolo Sferlazza Ore Pubblicato il

A cavallo tra la fine del 2016 e l’inizio del 2017, le circolari Accredia indirizzate agli Organismi di Certificazione (OdC) che intendevano accreditarsi per poter effettuare attività di valutazione sui soggetti che offrivano SPID, Conservazione a Norma e Servizi Fiduciari (eIDAS) (circolari N° 35/2016 – 15/12/2016, N° 5/2017 27/02/2017 e N° 8/2017 27/03/2017) richiedevano, agli…

Decreto Cyber Security: un passo avanti verso la sicurezza cibernetica nazionale

Decreto Cyber Security: un passo avanti verso la sicurezza cibernetica nazionale

A cura di:Aldo Benato Ore Pubblicato il

Il 13 aprile è entrato in vigore il Decreto Gentiloni sulla Cyber Security approvato il 17 febbraio scorso, un provvedimento che abroga e sostituisce il precedente DPCM Monti del 24 gennaio 2013 che sino a quel momento aveva delineato l’architettura nazionale in materia di sicurezza cibernetica. In attesa del recepimento della Direttiva europea 2016/1148, recante…

Ransomware: che fare?

Ransomware: che fare?

A cura di:Fabrizio Baiardi Ore Pubblicato il

Ransomware. Ciò che sappiamo Nell’ultimo anno abbiamo assistito ad una crescita esponenziale degli attacchi di tipo ransomware che hanno provocato, tra gli altri, un aumento di circa tre volte dei riscatti pagati per ottenere le chiavi di cifratura ed un altrettanto pesante aumento dei costi per cyber insurance. Si stima che uno solo dei gruppi…

La Turchia censura internet bloccando i social media durante il colpo di stato

La Turchia censura internet bloccando i social media durante il colpo di stato

A cura di:Redazione Ore Pubblicato il

Il primo ministro Recep Tayyip Erdoğan negli anni ha più volte espresso la sua avversione verso i social media tentando ripetutamente di bloccare e rallentare Facebook, Twitter, Vimeo, Instagram e Youtube. Sembra ormai essere questa la linea delle nuove leadership autoritarie; si registra che solo nella prima metà del 2016 si siano verificati più di…

Secondo l’indagine del Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, un server su sette della Pubblica Amministrazione Italiana presenta vulnerabilità di livello alto

Secondo l’indagine del Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, un server su sette della Pubblica Amministrazione Italiana presenta vulnerabilità di livello alto

A cura di:Daniele De Simone Ore Pubblicato il

L’ultimo report prodotto da CERT-AgID (Computer Emergency Response Team) dell’Agenzia per l’Italia Digitale ha evidenziato che, in media, selezionando casualmente 7 server della Pubblica Amministrazione, uno di essi ha buona probabilità di avere una vulnerabilità High. Un’indagine approfondita basata sul motore di Shodan che si sofferma a considerare sia la qualità delle vulnerabilità riscontrabili (di…

Nasce il CyberPARCO, primo centro di eccellenza italiano multidisciplinare sulla Cyber Security

Nasce il CyberPARCO, primo centro di eccellenza italiano multidisciplinare sulla Cyber Security

A cura di:Redazione Ore Pubblicato il

Nell’ambito della prevista creazione di un Parco Tecnologico e dell’insediamento dell’Università Statale di Milano nelle Aree dell’Expo 2015, CyberPARCO s i propone di promuovere l’istituzione di un’area dedicata alle aziende, startup e centri di ricerca attivi nel settore della Sicurezza Informatica/Cyber Security. L’obiettivo è di creare il primo Hub EuroMediterraneo sulla cyber security teso ad…