Controllare e certificare la sicurezza di processi e prodotti
Come primo ente di certificazione svizzero per la sicurezza funzionale e la sicurezza informatica, CertX, membro della SNV, fornisce un importante contributo all'affidabilità di prodotti e processi. Norme di vario tipo sono alla base del suo lavoro e della certificazione per i suoi clienti.
La cybersicurezza non riguarda solo l'attacco degli hacker al sistema di posta elettronica, al server aziendale o al database dei clienti. Letteralmente tutto ciò che è in rete può essere violato: dai dispositivi medici alla rete elettrica, dal sistema di allarme domestico alla rete del gas. In questi casi, si parla di "sicurezza informatica operativa". Per esempio, se un'auto è stata acquistata dopo il 2017, ha una scheda SIM installata di serie che avvierebbe una chiamata di emergenza automatica in caso di emergenza. Una piccola caratteristica che mette in rete l'auto con altri sistemi e quindi la rende attraente per gli hacker. Nel 2015, per esempio, gli hacker sono riusciti a guidare una Chrysler Cherokee in un modo strano: Tutto questo senza cavi, da una grande distanza e con un portatile. Il conducente non aveva più il controllo del motore, dello sterzo e dei freni. Cause collettive, cause giudiziarie, aggiustamenti del software e un richiamo di 1,4 milioni di Jeep Chrysler ne sono state le conseguenze.
Un esempio recente è l'attacco hacker al più grande gasdotto di benzina negli Stati Uniti, dove Colonial Pipeline ha finito per pagare gli hacker milioni - in dollari USA e bitcoin - per riprendere il controllo della fornitura di benzina. Per evitare tali violazioni della sicurezza, laddove possibile, i processi e i prodotti sono testati e certificati. "Vale la pena di coinvolgere un organismo di certificazione all'inizio dello sviluppo di un prodotto o servizio, poiché il processo di sviluppo è un elemento essenziale di una certificazione e non può essere corretto dopo", spiega Jens Henkner, CEO di CertX.
Hacking con intenzioni onorevoli?
Per rendere il più difficile possibile agli hacker con intenzioni sinistre, i produttori, gli utenti industriali e gli utenti finali devono essere consapevoli delle lacune di sicurezza e osservare rigorosamente le misure precauzionali. Attacchi come quello a Chrysler sono deliberatamente intrapresi dagli hacker per avvisare le aziende di eminenti vulnerabilità di sicurezza. I dipendenti di CertX partecipano anche al cosiddetto "hacking etico" nel loro tempo libero, in modo che i consumatori e le aziende possano essere risparmiati da danni maggiori. Jens Henkner sottolinea: "Solo se tutti, dallo sviluppo all'utente, sviluppano e gestiscono correttamente i dispositivi in rete, si può garantire la massima sicurezza possibile. La cybersicurezza è necessaria per garantire che i prodotti sicuri dalla fabbrica rimangano tali. Purtroppo, molti giocatori seguono ancora il principio di Floriani - cioè non risolvere la situazione di pericolo, ma aspettare e vedere cosa succede prima.
Gli errori sono insegnanti o tolggen nel Reinheft?
"Nell'aviazione, le persone sono state a lungo abituate a condividere gli errori e a imparare da essi insieme", dice Henkner. La maggior parte delle industrie è ancora lontana dal vivere questa cultura in modo incondizionato. Discussioni pubbliche su errori come quelli della Boeing sono difficili da immaginare nell'industria automobilistica, per esempio. Ma lentamente l'atteggiamento verso la cultura dell'errore sta cambiando anche qui. Henkner è convinto che gli standard possano giocare un ruolo di supporto in questo settore: "Gli standard sono esperienze messe per iscritto; come ingegnere, non vedo il senso di inventare la ruota due volte". Questo principio è seguito anche dal CertX, che si vede come un partner e non come un organo di controllo simile a un funzionario pubblico. Henkner dice: "Noi siamo il copilota. Leggiamo la lista di controllo e facciamo le domande giuste in modo che i clienti possano trovare facilmente le soluzioni giuste da soli".
Sto ancora guidando la mia macchina o sono guidato?
Il classico motore a combustione non è più l'unico dominatore sulle strade. Le auto elettriche stanno arricchendo la scena stradale sempre di più. Parole d'ordine come "guida autonoma" stanno alimentando la discussione sulla guida sicura. Se si crede ai visionari, il traffico stradale cambierà radicalmente nei prossimi anni. Il fatto è che l'industria automobilistica affronta sfide completamente diverse oggi rispetto a qualche anno fa. Costruire auto meccaniche o elettriche sono due discipline completamente diverse. Se, per esempio, la frizione nell'auto e quindi il controllo manuale per interrompere la propulsione scompare improvvisamente, vengono posti dei test completamente nuovi nel percorso dei produttori, che richiedono sistemi di controllo funzionalmente sicuri. Nuovi pezzi del puzzle come le stazioni di ricarica o le batterie a più alta intensità energetica appaiono sul radar. Oggi, per esempio, ancora più veicoli elettrici vengono danneggiati da incendi piuttosto che da problemi con gli assistenti alla guida. "Gli standard aiutano anche in un ambiente così innovativo, servendo come best practice e un libro di ricette nello sviluppo", è convinto Henkner. "La sensibilizzazione e la formazione dei dipendenti contribuiscono significativamente al successo. Quindi siamo orgogliosi che prima di Covid-19, abbiamo formato il maggior numero di dipendenti del settore automobilistico a livello mondiale nel campo della standardizzazione".
E cosa pensa Henkner della guida autonoma? Vede un grande potenziale per la guida in autostrada, ma non può immaginare la guida autonoma nel traffico urbano nel prossimo futuro a causa della complessità. CertX è convinta del trasporto multimodale del futuro ed è quindi coinvolta nel progetto di ricerca SwissMoves dell'Università di Scienze Applicate di Friburgo, dove contribuisce con le sue conoscenze di certificazione nel campo della sicurezza funzionale e della sicurezza informatica.
Fonte: CertX
E che dire dell'intelligenza artificiale?
Molte delle applicazioni odierne si basano sull'intelligenza artificiale, soprattutto per il riconoscimento delle immagini in vari settori dell'automazione. La difficoltà è che dopo lo sviluppo, le cosiddette reti neurali diventano una scatola nera e sono difficili da verificare. Qui è tanto più importante procedere in modo processuale e certificare di conseguenza. Per esempio, se gli autisti fanno degli errori, questi sono sempre attribuiti al singolo essere umano come un fallimento e non considerati un errore del sistema. L'intelligenza artificiale deve ora dimostrare che lavora in modo più sicuro degli umani, che non supera i tassi di errore umano di oggi e che non si verificano errori sistematici. La prova pratica richiede uno sforzo di test immensamente alto, che è praticamente inaccessibile nei cicli di sviluppo di oggi. Inoltre, gli standard in questo settore sono ancora largamente carenti. "L'arte non è più quella di testare il risultato finale, ma di regolare in modo ottimale il processo di sviluppo in modo da ottenere un cosiddetto "livello equivalente di sicurezza". Fattori come il principio dei quattro occhi, una documentazione completa, un database pulito, test digitalizzati e così via giocano un ruolo importante nella valutazione della sicurezza delle reti neurali. La grande sfida è confezionare sistemi agili in standard scritti. Questo crea attrito tra tutte le parti coinvolte nel lavoro di standardizzazione, che considero molto utile, perché alla fine porta a buoni risultati", sottolinea Jens Henkner.
Fonte: CertX