TISAX VDA-ISA versione 6 – La sicurezza nell’ambito automotive in continua evoluzione
Introduzione
In un contesto globale sempre più digitalizzato, e dove il rischio derivante da incidenti legati alla cybersecurity è ormai stabile nelle prime posizioni della classifica dei rischi più importanti per il business (fonte Allianz Risk Barometer), la sicurezza delle informazioni, insieme alla resilienza delle infrastrutture e dei sistemi, sono temi non più procrastinabili per tutte le organizzazioni.
In questa direzione si è mossa anche la VDA (l’Associazione dell’Industria Automobilistica Tedesca), apportando un’importante modifica al proprio meccanismo di auditing e valutazione TISAX (Trusted Information Security Assessment Exchange) con l’aggiornamento alla versione 6 della VDA-ISA (Information Security Assessment).
La VDA-ISA rappresenta il catalogo dei controlli previsti per la valutazione della postura di sicurezza, con l’obiettivo di definire la linea di base e lo stato dell’arte per la sicurezza informatica e delle informazioni delle organizzazioni dell’industria automobilistica.
La versione 6 rilasciata ad Ottobre 2023 (il cui utilizzo diventerà obbligatorio a partire da Aprile 2024) introduce importanti novità strutturali negli obiettivi di sicurezza da raggiungere; infatti, oltre alla riservatezza delle informazioni, ora si aggiunge l’alta disponibilità dei sistemi e delle infrastrutture. Allo stesso tempo si allarga anche il campo di applicazione, che passa dal solo ambito IT (Information Technology) anche all’ambito OT (Operation Technology). Vediamo nel dettaglio questi importanti aspetti.
Disponibilità e resilienza nella catena di fornitura
Nelle precedenti versioni della, e nelle precedenti valutazioni, l’elemento portante è sempre stato la salvaguardia della riservatezza delle informazioni all’interno della filiera produttiva (le informazioni da proteggere sono rappresentate da segreti industriali, da know how specifici, da conoscenze tecniche dal valore altamente strategico in termini concorrenziali).
I nuovi scenari di rischio e i nuovi vettori di attacco (con in primis il rischio del blocco di produzione come conseguenza di un attacco ransomware) hanno però portato alla consapevolezza che la perdita di riservatezza delle informazioni non fosse l’unico rischio da affrontare e mitigare nell’ambito automotive.
Di conseguenza, il focus è stato posto anche sulla disponibilità delle informazioni e di tutti gli asset tecnologici, sia IT che OT, a supporto dei processi produttivi. In una filiera fortemente integrata, e con processi sempre più real-time, qualsiasi blocco imprevisto delle forniture ai vari livelli della catena avrebbe un impatto fortemente negativo nella produzione finale delle automobili, con conseguenze negative in tutto il comparto.
Grazie a queste valutazioni è quindi maturata un’importante considerazione: la necessità di rafforzare tutte le misure protettive, e proprio con questo intento sono stati integrati all’interno della nuova VDA-ISA anche i requisiti dello standard per la sicurezza dei sistemi industriali e dell’automazione ISA/IEC 62443-2-1 (“Security program requirements for IACS asset owners”). Tutti i requisiti rilevanti all’interno della VDA-ISA 6.0 sono stati quindi allineati e mappati con i relativi requisiti dello standard ISA/IEC 62443-2-1.
Nella stessa direzione del miglioramento della fase di protezione, va letto anche l’inserimento del nuovo controllo 1.3.4 per la corretta valutazione e gestione del software da utilizzare all’interno delle organizzazioni. Nell’intento poi di prevenire il più possibile gli attacchi, nuovi requisiti sono stati aggiunti per alcuni controlli già esistenti; ad esempio, per i controlli 5.2.6 e 5.3.1 i nuovi requisiti hanno l’obiettivo di garantire delle analisi ponderate, in termini di sicurezza, per i sistemi e i servizi e di eseguire, per quelli ritenuti critici, specifici audit e assessment alla ricerca di vulnerabilità.
Ben consapevoli dell’impossibilità di azzerare il rischio da attacchi informatici potenzialmente bloccanti, risulta essenziale avere un corretto approccio per individuare, contenere e minimizzare gli effetti di un attacco qualora andasse a buon fine. Il primo elemento chiave di questo approccio risulta essere la pronta individuazione di qualsiasi evento o indicatore dell’inizio di una possibile minaccia. Con questo obiettivo è stato inserito il nuovo controllo 1.6.1, in modo che sia chiaro (anche grazie ad una preventiva ed opportuna formazione di tutto il personale) come riconoscere le potenziali minacce e quando riportarle al personale tecnico, nella maniera più efficace ed opportuna possibile.
Oltre ad un rapido riconoscimento delle attività malevoli in corso (compresi i modelli di attacchi sofisticati), in caso di un attacco è necessaria una risposta tempestiva e coordinata e con questo obiettivo è stato inserito il nuovo controllo 1.6.2. Quest’ultimo, infatti, garantisce una gestione ordinata e professionale degli incidenti di sicurezza, con una particolare attenzione anche all’aspetto della corretta comunicazione verso tutti gli stakeholders interessati (clienti, fornitori ecc).
Sempre nell’ambito di una risposta efficace agli eventi, e di una riduzione dell’impatto negativo degli stessi, si inquadra anche la definizione e l’esecuzione di una robusta pianificazione della continuità operativa introdotta grazie al nuovo controllo 5.2.8. Ciò prevede non solo sistemi critici ridondati e indipendenti, ma include anche una valutazione di tutte le varie contingenze che si possono presentare e per le quali definire adeguate modalità operative di emergenza. Grazie poi al nuovo controllo 5.2.9 (che garantisce un solido piano di backup) si vuole raggiungere l’obiettivo di mantenere sempre attivi i processi aziendali chiave, così da ottenere un livello di resilienza tale da non pregiudicare la catena produttiva. Qualora però si concretizzasse il caso peggiore, e si avesse un’interruzione totale dei processi (per la nuova la VDA-ISA 6.0 questa viene definita crisi), il nuovo controllo 1.6.3 dovrebbe garantire all’organizzazione una preparazione sufficientemente robusta atta a gestire la situazione per un pronto rientro dalla crisi stessa.
Modifiche agli obiettivi dell’assessment e alle LABEL TISAX
L’introduzione del nuovo aspetto della disponibilità porta una sostanziale modifica agli obiettivi dell’assessment Tisax e alla definizione delle LABEL Tisax. Nel dettaglio, la LABEL attuale “Handling of Information with High Protection Need” (“Info High”) sarà suddivisa in “Confidential” and “High Availability”. Alla stessa maniera l’attuale LABEL “Handling of information with Very High Protection Need” sarà suddivisa in “Strictly Confidential” and “Very High Availability” come di seguito rappresentato (cfr . TISAX Participant Handbook).
Con la nuova impostazione degli obiettivi di assessment, nell’utilizzo del catalogo dei controlli “Information Security” della nuova VDA-ISA 6.0 si deve quindi tenere in considerazione i seguenti aspetti:
- “Confidential” copre tutti i requisiti base e i requisiti aggiuntivi per “high protection need” che sono indicati con la lettera “C”.
- “High Availability” copre tutti i requisiti base e i requisiti aggiuntivi per “high protection need” che sono indicati con la lettera “A”.
- “Strictly Confidential” copre tutti i requisiti base e i requisiti aggiuntivi per “high and very high protection need” che sono indicati con la lettera “C”
- “Very High Availability” copre tutti i requisiti base e i requisiti aggiuntivi per “high and very high protection need” che sono indicati con la lettera “A.”
Come si nota i nuovi obbiettivi di audit sono un sottoinsieme degli obiettivi “Info High” e “Info Very High” presenti nella precedente versione; questa suddivisione non introduce comunque alcuna modifica ai livelli di assessment (AL Tisax).
No. | TISAX assessment objective | Assessment level (AL) |
1. | Info high | AL 2 |
2. | Info Very high | AL 3 |
3. | High availability | AL 2 |
4. | Very high availability | AL 3 |
5. | Proto parts | AL 3 |
6. | Proto vehicles | AL 3 |
7. | Test vehicles | AL 3 |
8. | Proto events | AL 3 |
9. | Data | AL 2 |
10. | Special data | AL 3 |
Tempistiche e transizione alla nuova VDA-ISA e alle nuove LABELs
Dal punto di vista delle tempistiche, per l’entrata in vigore delle nuove LABELs e dell’utilizzo della nuova versione del catalogo VDA-ISA 6.0 la road map da seguire risulta essere la seguente:
- L’attuale VDA ISA sarà valida fino al 31/03/2024;
- La nuova VDA ISA in versione 6.0 con i nuovi livelli di LABEL (Availability High/Availability Very High, Confidential/Strictly Confidential) sarà già disponibili da Gennaio 2023 per coprire il periodo di transizione (secondo gli accorgimenti visti in precedenza), e sarà poi l’unica in vigore a partire dal 01/04/2024;
- Il catalogo VDI-ISA 6.0 sarà obbligatorio per tutti gli assessment nuovi a partire dal 01/04/2023;
Da notare che tutti gli assessment per i quali la data del contratto con l’audit provider (per l’esecuzione dell’assessment iniziale) è antecedente ad Aprile 2024 possono continuare ad essere eseguiti sulla base della VDI-ISA 5.1, quelli con data successiva dovranno invece utilizzare obbligatoriamente la nuova versione 6.0 (ISA 6 will become mandatory for all new TISAX Assessments that are ordered after April 1st 2024. Audits that have been started according to the old ISA 5.1 standard (including corrective-action-plan assessments, follow-ups, and scope-extension-assessments) can still be completed using the old standard.).[1]
Conclusioni
A completamento dei nuovi controlli sopra descritti, e dei nuovi requisiti aggiunti per i controlli già esistenti, tra le altre novità dell’ultima versione della VDI-ISA 6.0 annoveriamo anche l’aggiunta dei riferimenti a standard e framework internazionali di settore. Oltre ad aggiornare i riferimenti alla nuova versione dello standard ISO 27001:2022, sono stati inseriti i riferimenti ai controlli dello standard ISA/IEC 62443-2-1 e quelli ai controlli del framework NIST CSF 1.1. Con l’obiettivo di fornire un ulteriore aiuto all’applicazione di tutti i vari controlli è stato inserito anche un apposito riferimento a due importanti guide implementative (la NIST SP 800-53 e il BSI IT-Grundschutz).
Sicuramente tutti questi cambiamenti rivestiranno un’enorme importanza per l’industria automobilistica e costituiranno un grande passo avanti nel processo di miglioramento della postura di sicurezza di tutte le organizzazioni del settore; allo stesso tempo, però, rappresenteranno anche una sfida considerevole per le stesse organizzazioni.
Note
[1] https://portal.enx.com/en-US/TISAX/
Articolo a cura di Fabrizio Bizzo e Paolo Sferlazza