A framework for risk analysis in automotive cybersecurity

We address the problem of automotive cybersecurity from the point of view of Threat Analysis and Risk Assessment (TARA). The central question that motivates the thesis is the one about the acceptability of risk, which is vital in taking a decision about the implementation of cybersecurity solutions. For this purpose, we develop a quantitative framework in which we take in input the results of risk assessment and define measures of various facets of a possible risk response; we then exploit the natural presence of trade-offs (cost versus effectiveness) to formulate the problem as a multi-objective optimization. Finally, we develop a stochastic model of the future evolution of the risk factors, by means of Markov chains; we adapt the formulations of the optimization problems to this non-deterministic context. The thesis is the result of a collaboration with the Vehicle Electrification division of Marelli, in particular with the Cybersecurity team based in Bologna; this allowed us to consider a particular instance of the problem, deriving from a real TARA, in order to test both the deterministic and the stochastic framework in a real world application. The collaboration also explains why in the work we often assume the point of view of a tier-1 supplier; however, the analyses performed can be adapted to any other level of the supply chain.

Quantitative risk analysis as a tool in process design

La Quantitative Risk Analysis costituisce un valido strumento per la determinazione del rischio associato ad un’installazione industriale e per la successiva attuazione di piani di emergenza. Tuttavia, la sua applicazione nella progettazione di un lay-out richiede la scelta di un criterio in grado di valutare quale sia la disposizione ottimale al fine di minimizzare il rischio. In tal senso, le numerose procedure esistenti, sebbene efficaci, risultano piuttosto faticose e time-consuming. Nel presente lavoro viene dunque proposto un criterio semplice ed oggettivo per comparare i risultati di QRA applicate a differenti designs. Valutando l’area racchiusa nelle curve iso-rischio, vengono confrontate dapprima le metodologie esistenti per lo studio dell’effetto domino, e successivamente, viene applicata al caso di serbatoi in pressione una procedura integrata di Quantitative Risk Domino Assessment. I risultati ottenuti dimostrano chiaramente come sia possibile ridurre notevolmente il rischio di un’attività industriale agendo sulla disposizione delle apparecchiature, con l’obiettivo di limitare gli effetti di possibili scenari accidentali.

Industrial Demilitarized Zone and Zero Trust cybersecurity models for Industrial Control Systems

Today more than ever, with the recent war in Ukraine and the increasing number of attacks that affect systems of nations and companies every day, the world realizes that cybersecurity can no longer be considered just as a “cost”. It must become a pillar for our infrastructures that involve the security of our nations and the safety of people. Critical infrastructure, like energy, financial services, and healthcare, have become targets of many cyberattacks from several criminal groups, with an increasing number of resources and competencies, putting at risk the security and safety of companies and entire nations. This thesis aims to investigate the state-of-the-art regarding the best practice for securing Industrial control systems. We study the differences between two security frameworks. The first is Industrial Demilitarized Zone (I-DMZ), a perimeter-based security solution. The second one is the Zero Trust Architecture (ZTA) which removes the concept of perimeter to offer an entirely new approach to cybersecurity based on the slogan ‘Never Trust, always verify’. Starting from this premise, the Zero Trust model embeds strict Authentication, Authorization, and monitoring controls for any access to any resource. We have defined two architectures according to the State-of-the-art and the cybersecurity experts’ guidelines to compare I-DMZ, and Zero Trust approaches to ICS security. The goal is to demonstrate how a Zero Trust approach dramatically reduces the possibility of an attacker penetrating the network or moving laterally to compromise the entire infrastructure. A third architecture has been defined based on Cloud and fog/edge computing technology. It shows how Cloud solutions can improve the security and reliability of infrastructure and production processes that can benefit from a range of new functionalities, that the Cloud could offer as-a-Service.We have implemented and tested our Zero Trust solution and its ability to block intrusion or attempted attacks.

L'analisi di rischio nel trasporto stradale di merci pericolose: due software a confronto

Confronto tra due software specifici per l'analisi di rischio nel trasporto stradale di merci pericolose (TRAT GIS 4.1 e QRAM 3.6) mediante applicazione a un caso di studio semplice e al caso reale di Casalecchio di Reno, comune della provincia di Bologna.

Graphite for lithium-ion batteries: mineral analysis and global Material Flow Analysis

Graphite is a mineral commodity used as anode for lithium-ion batteries (LIBs), and its global demand is doomed to increase significantly in the future due to the forecasted global market demand of electric vehicles. Currently, the graphite used to produce LIBs is a mix of synthetic and natural graphite. The first one is produced by the crystallization of petroleum by-products and the second comes from mining, which causes threats related to pollution, social acceptance, and health. This MSc work has the objective of determining compositional and textural characteristics of natural, synthetic, and recycled graphite by using SEM-EDS, XRF, XRD, and TEM analytical techniques and couple these data with dynamic Material Flow Analysis (MFA) models, which have the objective of predicting the future global use of graphite in order to test the hypothesis that natural graphite will no longer be used in the LIB market globally. The mineral analyses reveal that the synthetic graphite samples contain less impurities than the natural graphite, which has a rolled internal structure similar to the recycled one. However, recycled graphite shows fractures and discontinuities of the graphene layers caused by the recycling process, but its rolled internal structure can help the Li-ions’ migration through the fractures. Three dynamic MFA studies have been conducted to test distinct scenarios that include graphite recycling in the period 2022-2050 and it emerges that - irrespective of any considered scenario - there will be an increase of synthetic graphite demand, caused by the limited stocks of battery scrap available. Hence, I conclude that both natural and recycled graphite is doomed to be used in the LIB market in the future, at least until the year 2050 when the stock of recycled graphite production will be enough to supersede natural graphite. In addition, some new improvement in the dismantling and recycling processes are necessary to improve the quality of recycled graphite.

Sensitivity analysis of QRA to the occurrence frequencies of top-events: a case study

L’obiettivo del lavoro di tesi è stato quello di valutare la sensitività dell’analisi quantitativa del rischio (QRA, Quantitative Risk Analysis) alla frequenza di accadimento degli scenari di rilascio delle sostanze pericolose ovvero dei top-events. L’analisi di rischio è stata condotta applicando, ad uno stabilimento a rischio di incidente rilevante della Catalogna, i passaggi procedurali previsti dall’istruzione 14/2008 SIE vigente in quella regione. L’applicazione di questa procedura ha permesso di ottenere le curve isorischio, che collegano i punti attorno allo stabilimento aventi lo stesso valore del rischio locale. Le frequenze base dei top-events sono state prese innanzitutto dalla linea guida BEVI, e successivamente ai fini dell’analisi di sensitività, sono stati considerati sia i valori forniti da altre 3 autorevoli linee guida sia i valori ottenuti considerando incrementi delle frequenze base del 20%, 30%, 50%, 70%, 200%, 300%, 500%, 700%, 1000%, 2000%, 3000%, 4000%, 5000%. L’analisi delle conseguenze è stata condotta tramite i software EFFECTS ed ALOHA, mentre ai fini della ricomposizione del rischio è stato utilizzato il codice RISKCURVES. La sensitività alle frequenze dei top-events è stata valutata in termini di variazione del diametro massimo delle curve isorischio, con particolare attenzione a quella corrispondente a 10-6 ev/anno, che rappresenta il limite di accettabilità del rischio per la pianificazione territoriale nell’intorno dello stabilimento. E’ stato così dimostrato che l’estensione delle curve isorischio dipende in maniera molto forte dalla frequenza dei top-events e che l’utilizzo di dati di frequenza provenienti da linee guida diverse porta a curve isorischio di dimensioni molto differenti. E’ dunque confermato che la scelta delle frequenze degli scenari incidentali rappresenta, nella conduzione dell’analisi di rischio, un passaggio delicato e cruciale.

A framework for the environmental risk assessment of offshore carbon storage in CCS systems

Carbon capture and storage (CCS) represents an interesting climate mitigation option, however, as for any other human activity, there is the impelling need to assess and manage the associated risks. This study specifically addresses the marine environmental risk posed by CO2 leakages associated to CCS subsea engineering system, meant as offshore pipelines and injection / plugged and abandoned wells. The aim of this thesis work is to start approaching the development of a complete and standardized practical procedure to perform a quantified environmental risk assessment for CCS, with reference to the specific activities mentioned above. Such an effort would be of extreme relevance not only for companies willing to implement CCS, as a methodological guidance, but also, by uniformizing the ERA procedure, to begin changing people’s perception about CCS, that happens to be often discredited due to the evident lack of comprehensive and systematic methods to assess the impacts on the marine environment. The backbone structure of the framework developed consists on the integration of ERA’s main steps and those belonging to the quantified risk assessment (QRA), in the aim of quantitatively characterizing risk and describing it as a combination of magnitude of the consequences and their frequency. The framework developed by this work is, however, at a high level, as not every single aspect has been dealt with in the required detail. Thus, several alternative options are presented to be considered for use depending on the situation. Further specific studies should address their accuracy and efficiency and solve the knowledge gaps emerged, in order to establish and validate a final and complete procedure. Regardless of the knowledge gaps and uncertainties, that surely need to be addressed, this preliminary framework already finds some relevance in on field applications, as a non-stringent guidance to perform CCS ERA, and it constitutes the foundation of the final framework.

Indagine delle proprietà statistiche di serie temporali di posizione applicata al caso della stazione permanente GPS della base Mario Zucchelli in Terra Vittoria (Antartide)

Da ormai sette anni la stazione permanente GPS di Baia Terranova acquisisce dati giornalieri che opportunamente elaborati consentono di contribuire alla comprensione della dinamica antartica e a verificare se modelli globali di natura geofisica siano aderenti all’area di interesse della stazione GPS permanente. Da ricerche bibliografiche condotte si è dedotto che una serie GPS presenta molteplici possibili perturbazioni principalmente dovute a errori nella modellizzazione di alcuni dati ancillari necessari al processamento. Non solo, da alcune analisi svolte, è emerso come tali serie temporali ricavate da rilievi geodetici, siano afflitte da differenti tipologie di rumore che possono alterare, se non opportunamente considerate, i parametri di interesse per le interpretazioni geofisiche del dato. Il lavoro di tesi consiste nel comprendere in che misura tali errori, possano incidere sui parametri dinamici che caratterizzano il moto della stazione permanente, facendo particolare riferimento alla velocità del punto sul quale la stazione è installata e sugli eventuali segnali periodici che possono essere individuati.

Il Problema della Sicurezza nel Cloud Computing

Il termine cloud ha origine dal mondo delle telecomunicazioni quando i provider iniziarono ad utilizzare servizi basati su reti virtuali private (VPN) per la comunicazione dei dati. Il cloud computing ha a che fare con la computazione, il software, l’accesso ai dati e servizi di memorizzazione in modo tale che l’utente finale non abbia idea della posizione fisica dei dati e la configurazione del sistema in cui risiedono. Il cloud computing è un recente trend nel mondo IT che muove la computazione e i dati lontano dai desktop e dai pc portatili portandoli in larghi data centers. La definizione di cloud computing data dal NIST dice che il cloud computing è un modello che permette accesso di rete on-demand a un pool condiviso di risorse computazionali che può essere rapidamente utilizzato e rilasciato con sforzo di gestione ed interazione con il provider del servizio minimi. Con la proliferazione a larga scala di Internet nel mondo le applicazioni ora possono essere distribuite come servizi tramite Internet; come risultato, i costi complessivi di questi servizi vengono abbattuti. L’obbiettivo principale del cloud computing è utilizzare meglio risorse distribuite, combinarle assieme per raggiungere un throughput più elevato e risolvere problemi di computazione su larga scala. Le aziende che si appoggiano ai servizi cloud risparmiano su costi di infrastruttura e mantenimento di risorse computazionali poichè trasferiscono questo aspetto al provider; in questo modo le aziende si possono occupare esclusivamente del business di loro interesse. Mano a mano che il cloud computing diventa più popolare, vengono esposte preoccupazioni riguardo i problemi di sicurezza introdotti con l’utilizzo di questo nuovo modello. Le caratteristiche di questo nuovo modello di deployment differiscono ampiamente da quelle delle architetture tradizionali, e i meccanismi di sicurezza tradizionali risultano inefficienti o inutili. Il cloud computing offre molti benefici ma è anche più vulnerabile a minacce. Ci sono molte sfide e rischi nel cloud computing che aumentano la minaccia della compromissione dei dati. Queste preoccupazioni rendono le aziende restie dall’adoperare soluzioni di cloud computing, rallentandone la diffusione. Negli anni recenti molti sforzi sono andati nella ricerca sulla sicurezza degli ambienti cloud, sulla classificazione delle minacce e sull’analisi di rischio; purtroppo i problemi del cloud sono di vario livello e non esiste una soluzione univoca. Dopo aver presentato una breve introduzione sul cloud computing in generale, l’obiettivo di questo elaborato è quello di fornire una panoramica sulle vulnerabilità principali del modello cloud in base alle sue caratteristiche, per poi effettuare una analisi di rischio dal punto di vista del cliente riguardo l’utilizzo del cloud. In questo modo valutando i rischi e le opportunità un cliente deve decidere se adottare una soluzione di tipo cloud. Alla fine verrà presentato un framework che mira a risolvere un particolare problema, quello del traffico malevolo sulla rete cloud. L’elaborato è strutturato nel modo seguente: nel primo capitolo verrà data una panoramica del cloud computing, evidenziandone caratteristiche, architettura, modelli di servizio, modelli di deployment ed eventuali problemi riguardo il cloud. Nel secondo capitolo verrà data una introduzione alla sicurezza in ambito informatico per poi passare nello specifico alla sicurezza nel modello di cloud computing. Verranno considerate le vulnerabilità derivanti dalle tecnologie e dalle caratteristiche che enucleano il cloud, per poi passare ad una analisi dei rischi. I rischi sono di diversa natura, da quelli prettamente tecnologici a quelli derivanti da questioni legali o amministrative, fino a quelli non specifici al cloud ma che lo riguardano comunque. Per ogni rischio verranno elencati i beni afflitti in caso di attacco e verrà espresso un livello di rischio che va dal basso fino al molto alto. Ogni rischio dovrà essere messo in conto con le opportunità che l’aspetto da cui quel rischio nasce offre. Nell’ultimo capitolo verrà illustrato un framework per la protezione della rete interna del cloud, installando un Intrusion Detection System con pattern recognition e anomaly detection.

UWB radar sensor networks: Detection algorithms design and experimental analysis

In the last years radar sensor networks for localization and tracking in indoor environment have generated more and more interest, especially for anti-intrusion security systems. These networks often use Ultra Wide Band (UWB) technology, which consists in sending very short (few nanoseconds) impulse signals. This approach guarantees high resolution and accuracy and also other advantages such as low price, low power consumption and narrow-band interference (jamming) robustness. In this thesis the overall data processing (done in MATLAB environment) is discussed, starting from experimental measures from sensor devices, ending with the 2D visualization of targets movements over time and focusing mainly on detection and localization algorithms. Moreover, two different scenarios and both single and multiple target tracking are analyzed.

Multiphase flow in porous media: meta-modeling techniques for sensitivity analysis and risk assessment

One of the biggest challenges that contaminant hydrogeology is facing, is how to adequately address the uncertainty associated with model predictions. Uncertainty arise from multiple sources, such as: interpretative error, calibration accuracy, parameter sensitivity and variability. This critical issue needs to be properly addressed in order to support environmental decision-making processes. In this study, we perform Global Sensitivity Analysis (GSA) on a contaminant transport model for the assessment of hydrocarbon concentration in groundwater. We provide a quantification of the environmental impact and, given the incomplete knowledge of hydrogeological parameters, we evaluate which are the most influential, requiring greater accuracy in the calibration process. Parameters are treated as random variables and a variance-based GSA is performed in a optimized numerical Monte Carlo framework. The Sobol indices are adopted as sensitivity measures and they are computed by employing meta-models to characterize the migration process, while reducing the computational cost of the analysis. The proposed methodology allows us to: extend the number of Monte Carlo iterations, identify the influence of uncertain parameters and lead to considerable saving computational time obtaining an acceptable accuracy.