Negli ultimi anni, con il progresso delle tecnologie legate all’Internet of Things (IoT), l’industria automobilistica ha subito notevoli cambiamenti dal punto di vista tecnologico che hanno portano all’introduzione di molte innovazioni nel settore dell’automazione dei veicoli (sistema ADAS, Advanced Driver Assistance System).
La trasformazione in atto, tra guida autonoma, auto elettriche e auto connesse non può prescindere dalla cybersecurity. L’espansione del mercato delle connected car (paradigma V2V, V2I e V2X), con il conseguente aumento della complessità informatica in termini di connettività, interfacce utente, Cloud e, in generale, di gestione della progettazione software, ha, di fatto, accresciuto i rischi di sicurezza informatica ad esse associati.
Le aziende del settore, anche a seguito di incidenti di sicurezza importanti, hanno quindi preso coscienza della propria vulnerabilità e della necessità di intervenire in materia di cybersecurity. Questo scenario ha portato, inoltre, ad una evoluzione del quadro normativo in materia di cyber security per il settore automotive, che ha visto l’introduzione di standard e regolamenti (standard SAE J3061, ISO 21434 e Regulation UNECE 155) volti a definire le buone prassi e le linee guida per le industrie automotive in materia di sicurezza informatica e specifici obblighi per la protezione dei veicoli secondo un approccio “security-by-design” finalizzati alla mitigazione dei rischi anche lungo la catena del valore.
In questo contesto, Hi-lex Italy S.p.A., un’importante realtà nel settore automotive, si è rivolta a MADE Competence Center i4.0 per verificare la propria posizione rispetto alle best practice nazionali e internazionali, valutare le misure necessarie in ambito di cybersecurity e costruire una road map degli interventi rilevanti e prioritari necessari, sfruttando una metodologia di Assessment innovativa e data-driven.
Il progetto Hi-Lex ESRA
Il progetto Hi-Lex ESRA, acronimo di Enhanced Security Risk Analytics, nasce dall’esigenza dell’azienda, di essere compliance con le richieste dell’industria automobilistica in ambito cybersecurity.
Per essere competitiva in un mercato come quello automotive, oltre a essere compliance alle richieste in ambito cybersecurity dei clienti, Hi-lex Italy ha necessità di evolversi da un punto di vista tecnologico; con questo obiettivo, l’azienda ha avviato dei progetti finalizzati al miglioramento degli aspetti più critici, quali:
- il controllo della qualità dei prodotti usando l’Intelligenza Artificiale per la rilevazione del rumore;
- l’interconnessione delle linee di produzione al gestionale e la visualizzazione in tempo reale dei dati di produzione dalle linee e dal gestionale tramite un sistema Andon (strumento fondamentale della Lean Manufacturing che permette di tenere sotto controllo i processi produttivi e di intervenire in modo tempestivo quando serve);
- la disponibilità delle linee di produzione usando la manutenzione predittiva.
Per portare a termine con successo questi progetti e garantire che i sistemi coinvolti siano disponibili e sicuri, era di fondamentale importanza che l’azienda si dotasse di una robusta politica di cybersecurity, per la cui definizione, partendo dalla verifica della situazione attuale, è stata costruita la roadmap degli interventi necessari.
Il progetto, messo a punto da MADE4.0 in collaborazione con il partner AizoOn, ha permesso la mappatura di tutti gli apparati connessi alla rete aziendale, l’individuazione delle vulnerabilità presenti e la possibilità di definire un piano di miglioramento sia per quanto riguarda gli strumenti di cui dotarsi, sia per l’introduzione di processi, controlli e regole di sicurezza, inizialmente non presenti in azienda.
Per il raggiungimento degli obiettivi preposti, la roadmap delle attività è stata articolata in tre macro-fasi:
- Assessment del contesto organizzativo as-is;
- Technical Discovery;
- Definizione della Security Strategy.
-
Assessment del contesto organizzativo as-is
L’Assessment del contesto organizzativo as-is è stato condotto mediante un’indagine OSINT (Open Source Intelligence Gathering), una forma di investigazione che comprende la ricerca, la selezione e l’acquisizione di informazioni da sorgenti pubblicamente disponibili e la loro successiva analisi con l’obiettivo di consegnare un report sui possibili scenari di attacco derivanti dal possesso di tali informazioni. L’indagine è stata estesa dai consulenti MADE oltre il perimetro dell’organizzazione (profondità di livello 3), utilizzando metodi di social engineering per individuare eventuali punti deboli nel personale dell’organizzazione, analizzando le informazioni che possono avere impatto reputazionale su Hi-Lex ed eseguendo una mappatura dei servizi di rete, dei server e degli host individuati al fine di definire il perimetro dei sistemi critici (modalità attiva).
In questa fase, sono state condotte le interviste con i referenti tecnici e le funzioni chiave di Hi-Lex, secondo un piano di interviste condivise, allo scopo di raccogliere dati essenziali alle valutazioni di maturità tecnico/gestionale per quanto attiene alla cybersecurity.
-
Technical Discovery
Il secondo Work Package (WP) progettuale, finalizzato all’identificazione del perimetro e dei rischi aziendali, ha previsto una campagna di phishing via email, primo vettore d’attacco verso le imprese, e le fasi di Vulnerability Assessment, esterno ed interno, grazie alle quali sono state identificate le vulnerabilità e individuati i nuovi controlli di sicurezza da disporre a protezione degli asset.
-
Definizione della Security Strategy
Il terzo e ultimo WP del progetto ha compreso due attività, l’Enhanced Security Risk Analytics (ESRA) e la definizione della strategia di Cyber Security Aziendale. Le informazioni raccolte nelle fasi precedenti hanno permesso di realizzare una gap analysis orientata all’individuazione delle principali scoperture in relazione ai risultati emersi nell’analisi di Maturità dei Controlli.
Le principali criticità emerse (da Analisi OSINT, Phishing Campaign, Vulnerability Assessment Integrato, ecc.) hanno indirizzato il Piano degli Interventi, che è stato redatto indicando il sottoinsieme dei controlli necessari per condurre il Cliente verso un profilo di sicurezza ritenuto accettabile e una prioritizzazione degli stessi.
L’analisi ha consentito una revisione ampia e completa dell’assetto con cui Hi-Lex protegge i propri asset dagli attacchi cibernetici, includendo la verifica degli strumenti deputati alla sicurezza siano essi organizzativi o tecnologici.
In conformità agli obiettivi del progetto, il piano prodotto ha descritto le soluzioni ma non è entrato nel merito dei dettagli tecnici o implementativi (ad es. specifiche tecnico/funzionali). Le analisi di dettaglio necessarie a realizzare gli interventi selezionati saranno in scope ai futuri progetti attuativi del piano.
Grado di innovatività della soluzione
L’innovatività del progetto Hi-Lex ESRA si basa su una piattaforma tecnologica multi-standard/multi-norma (Enhanced Security Risk Analytics), in grado di gestire ed elaborare strutture gerarchiche integrate con un layer “Data Oriented”, nella quale confluiranno le informazioni raccolte nella fase di Technical Discovery e dagli Assesment basati sulle interviste e lo studio di documentazione, fornendo una valutazione basata sui dati rilevati e aderente allo stato dei sistemi presenti nel perimetro aziendale al momento della rilevazione. Il tutto è orchestrato da uno strato di Analytics in grado di elaborare le aggregazioni e le associazioni necessarie a mantenere la coerenza tra viste di insieme con dati puntuali sui singoli sistemi, a supporto degli interventi tecnici ritenuti prioritari.
Diversamente da quanto precedentemente fatto in azienda, quest’approccio consentirà di fornire la valutazione di maturità dei controlli, secondo parametri rilevati near-real time dai sistemi e, quindi, aggiornati, puntuali, verticalizzabili e dettagliabili fino alla singola configurazione del singolo sistema, perimetrabili in modo dettagliato e privi di elementi distorsivi dovuti alla percezione personale.
Rispetto ai tradizionali metodi consulenziali, il metodo data-driven riduce il tempo totale del progetto e garantisce al contempo risultati più precisi, consentendo di valutare lo stato di sistemi e controlli sulla base di dati tecnicamente rilevati e non genericamente espressi per aree d’intervista.
Impatto atteso e ricaduta sulla competitività
Il progetto consentirà ad Hi-Lex di rafforzarsi rispetto alle tematiche di IT Security / Cyber Security, Access management e Identity and Access management, senza le quali non le sarebbe possibile partecipare ai bandi di gara per lo sviluppo di nuovi business. Inoltre, l’implementazione della sicurezza informatica si tradurrà in un vantaggio competitivo fondamentale, potendo fornire prodotti affidabili e soluzioni connesse sicure, evitando violazioni costose da sanare e fonti di pubblicità negativa a danno della fiducia dei clienti nei confronti dell’azienda e dei suoi prodotti.
Adottando le misure di sicurezza consigliate dal piano strategico, Hi-Lex contribuirà a proteggere le infrastrutture critiche, soprattutto quelle dell’area OT (Operational Technology), da attacchi dannosi, in modo da prevenire incidenti che potrebbero mettere a rischio la vita delle persone e l’ambiente, così come portare ad eventuali interruzioni della produzione dovuti a malfunzionamenti legati alla sicurezza informatica.
Il risultato atteso da sistemi industriali più sicuri e protetti è maggiore efficienza, riduzione degli sprechi di energia e della carbon footprint.
Infine, l’adozione di misure di cybersecurity adeguate contribuisce al mantenimento della conformità normativa in materia di sicurezza informatica, evitando multe e sanzioni.
Il ruolo svolto da MADE4.0 all'interno dell'attività progettuale, attraverso il suo partner AizoOn, è stato di consulenza e supporto all’erogazione del servizio di cybersecurity assessment così come dettagliato in tutti i Work Package e i task del progetto. Grazie al know-how e alle competenze di MADE4.0, Hi-Lex ha potuto individuare i processi che le consentiranno di ridurre i potenziali rischi per l’attività d’impresa e mettere in opera misure che ne mitighino o azzerino l’impatto. Un’attività che richiede la conoscenza e l’uso di strumenti avanzati, che è necessario saper non solo utilizzare, ma anche interpretare.
