ISO/SAE 21434: consigli per i fornitori di Tier 1
Le esigenze di sicurezza informatica sono in rapida evoluzione nel settore automobilistico, a fronte del crescente diffondersi di minacce informatiche a danno di veicoli e passeggeri. Se appartieni al segmento Tier 1, segui i consigli affinché la tua organizzazione risulti conforme alle normative di protezione della sicurezza informatica ISO/SAE 21434.
1: Rafforza i processi di cyber security iniziando dalla GAP Analysis
Se riconosci nella tua organizzazione delle possibili lacune a livello di processo, la soluzione è analizzare i GAP rispetto ai requisiti stabiliti dallo standard fondamentale ISO/SAE 21434.
In questo modo sarà subito chiaro quali misure implementare affinché le pratiche di cybersecurity in uso siano allineate a quanto stabilito dalle norme di riferimento.
L’azione intrapresa è massimizzata pianificando audit regolari in conformità alle normative R155, R156, ISO/SAE 21434 e ISO 24089.
Per evitare il rischio di non conformità, o continuare a tenere in vita processi che mettono a rischio la cyber security degli item, è cruciale prevedere un piano costante di miglioramento dei processi di cybersecurity.
2: Gestisci i rapporti con l’OEM attraverso il Cybersecurity Interface Agreement
Il Cybersecurity Interface Agreement (CIA), ai sensi della norma ISO/SAE 21434, è il documento che definisce i requisiti e le responsabilità di sicurezza informatica relativi alle interfacce tra i diversi sistemi e componenti all’interno dell’ecosistema del veicolo.
La fase di redazione del CIA è complessa, ma di primaria rilevanza per concordare con l’OEM le attività da svilupparsi nell’ambito della sicurezza informatica.
3: Garantisci items in linea con gli standard ISO/SAE 21434
La norma ISO/SAE 21434 richiede che lo sviluppo di un componente preveda la definizione delle interfacce di cybersecurity.
Il Tier 1 non può tralasciare una oculata revisione degli aspetti relativi alla protezione dalle minacce informatiche, a partire dalla fase di progettazione e fino alla formalizzazione del Cyber Security Case, definito dalla norma ISO/SAE 21434 come risultato finale della resilienza di un item.
4: Metti in atto misure di verifica e validazione della cyber security
Condurre test approfonditi di sicurezza informatica richiede strumenti e competenze radicate nel mondo degli standard normativi perchè il risultato sia di inconfutabile efficacia.
Se l’obiettivo è non tralasciare nessuna vulnerabilità, la verifica e la validazione della cyber security secondo gli standard ISO/SAE 21434 devono prevedere una vasta gamma di metodi di penetration test. Solo in questo modo il quadro sulla resilienza dei dispositivi installati sui veicoli sarà completo.
5: Analizza i rischi di cyber security con il metodo TARA
L’analisi TARA (Threat Analysis e Risk Assessment) costituisce, secondo gli standard di settore, il prerequisito per la finalizzazione del Cyber Security Case, che illustra il funzionamento degli item. Senza un’analisi approfondita del rischio informatico dei componenti, potreste non implementare strategie di mitigazione efficaci ad eliminare le vulnerabilità agli attacchi.
Il metodo TARA restituisce lo studio dettagliato delle potenziali minacce, garantendo che tutti i rischi siano identificati e gestiti correttamente, attraverso la valutazione dei vettori e delle conseguenze di un attacco.
6: Sviluppa Sistema di Gestione e Piano di formazione ISO/SAE 21434
In assenza di un sistema di gestione formale, le pratiche di cybersecurity potrebbero risultare non sufficientemente integrate all’interno del ciclo di vita del veicolo.
Il processo di costruzione di un sistema di gestione che soddisfi i requisiti di ISO/SAE 21434, e che includa pratiche integrat, passa attraverso:
- La definizione dei ruoli e delle responsabilità interni
- Istituzione dei programmi di formazione con sessioni dedicate allo sviluppo delle competenze
nell’ambito del monitoraggio dei livelli di sicurezza informatica e delle modalità di risposta agli incidenti di tipo informatico
