Cyber-security: applicazione standard IEC su sistemi Software di diagnostica
Brief
Supporto alla fase di design, alla pianificazione, alla definizione e all’esecuzione dell’attività di test di un prodotto di diagnostica di apparati ferroviari su cui applicare e verificare gli standard di cyber-security e destinato al mondo metropolitano.
Sfide di progetto
Applicare le norme principali di cyber-security ad un prodotto di diagnostica di apparati in modo da renderlo invulnerabile ad attacchi esterni, mantenendo inalterate le sue funzionalità. Lavorare su un sistema multi-host, con sistemi operativi basati sia su Linux che su Windows.
Creare GPO (Group Policy Object) per rafforzare la sicurezza del sistema e gestire efficacemente le policy.
Gestire la piattaforma di distribuzione della cyber security (piattaforma installata in una workstation dedicata esterna al prodotto da validare) e i suoi moduli:
• NTP Server (macchina virtuale per la sincronizzazione oraria);
• Collettore eventi si sistema (macchina virtuale per la raccolta di eventi di sistema);
• Controllori di dominio (primario e secondario – anche essi macchine virtuali);
• Antivirus Server (macchina virtuale per l’antivirus).
Testare il prodotto sulla base dei requisiti cyber e funzionali dello stesso.
Soluzione
NIER ha dato un supporto meticoloso al cliente sul design degli scenari di test per verificare la vulnerabilità cyber del prodotto.
I suddetti scenari si dividono in:
• LOCAL mode (senza utilizzare una piattaforma esterna per la cybersecurity);
• DOMAIN mode (utilizzando una piattaforma esterna per la cybersecurity).
In entrambi gli scenari, è prevista la creazione di utenti.
Essi hanno una duplice classificazione:
- Prima classificazione:
o “Utenti Locali” per il LOCAL mode;
o “Utenti di Dominio” per il DOMAIN mode; - Seconda classificazione:
o Utenti “Amministratori”;
o Utenti “Operatori”.
Per ogni utente, vanno applicate le password policy (minimum/maximum password age, minimum password length, password history) e le account lockout policy (account lockout duration, account lockout threshold, reset account lockout counter).
Ogni utente, inoltre, deve appartenere ad uno o più gruppi specifici in modo da poter adempiere alla funzione per la quale è stato concepito.
Per gli utenti di dominio, in particolare, va creata una GPO a livello di piattaforma esterna per la cyber security, che permetta agli stessi di poter loggarsi alle macchine del sistema in qualità di Amministratore/Operatore delle stesse, in modalità remota (Remote Desktop Connection) o locale (mediante monitor-tastiera-mouse in loco).
NIER si è occupata, poi, della pianificazione e dell’esecuzione dei test del prodotto in conformità ai suoi requisiti cyber e funzionali.
Fasi di esecuzione
Fase di supporto al cliente sul design degli scenari di test
Redazione del Requirement Test Plan and Description
Set-up del test environment
Esecuzione dei test cyber sulla base dei requisiti cyber coperti dai test associati
Esecuzione dei test funzionali sulla base dei requisiti di prodotto coperti dai test associati
Individuazione e discussione con il cliente delle anomalie e dei comportamenti inattesi riscontrati
Stesura del Requirement Test Report
Risultati ottenuti
NIER ha contribuito a raggiungere i seguenti obiettivi:
– Rendere il prodotto di diagnostica di apparati ferroviari compliant alle norme di cyber-security;
– Scoprire difetti del prodotto, riducendo i costi di retrofit grazie alla individuazione tempestiva di Bug ed anomalie in fase di sviluppo.