Se l’industria dell’automotive corre senza sosta in direzione di un’auto a guida autonoma totalmente connessa e digitalizzata, dall’altra sono ancora tanti e diversi i timori che ne frenano la sua immediata realizzazione. In primis, la possibilità di subire un attacco hacker mentre si è alla guida del veicolo stesso. Lo sa benissimo Fausto Mozzarelli, business unit director di CSI Automotive, che a Forbes.it ha analizzato quali sono i rischi ‘nascosti’ di un’auto a guida autonoma e quanto sia fondamentale il connubio con la cybersecurity.
Quanto è importante integrare la cybersecurity all’interno di tutti quei servizi interattivi pensati per la cosiddetta auto del futuro, o meglio ‘auto connessa’?
Partendo dall’assunto che tra qualche anno, secondo gli operatori del settore, si parlerà sempre più di auto hackerata, invece che rubata, il concetto di cybersecurity all’interno del mondo delle auto connesse è ormai un must. Anche perché l’impatto sarà sempre maggiore con l’ulteriore implementazione della connettività dei veicoli, dettata dalle esigenze degli utenti di essere sempre connessi e dalla volontà delle case costruttrici di fornire un sempre maggiore numero di servizi e di devices. Aspetti che, nel loro insieme, comporteranno un aumento dei fattori di vulnerabilità e la necessità di implementare un nuovo tema: quello della “Cyber Security by Design”. Quindi, visto che oggi un’auto è ormai un computer specializzato che nasconde sotto il suo cofano fino a 150 unità elettroniche (ECU), è fondamentale che i costruttori di auto realizzino software e servizi “sicuri”. Il che significa raggiungere un livello di cultura nel campo dell’Automotive Security che permetta di implementare una serie di procedure e standard atti e realizzare sistemi automotive sempre più affidabili. E in questo contesto, si colloca la Regulation UN ECE 155, la proposta di standard europeo per la gestione della cyber security per l’automotive che diventerà obbligatoria in Europa a partire dal 6 luglio 2022 per le nuove omologazioni e a partire dal 7 luglio 2024 per tutti i veicoli di nuova immatricolazione.
Quali potrebbero essere i punti di accesso che, in caso di violazione, permettono ad una terza parte di violare anche gli asset interni delle stesse auto a guida autonoma?
I punti di accesso o superficie di attacco di un’autovettura moderna si possono dividere in 3 aree a seconda della distanza dall’attaccante rispetto alla macchina:
- accesso fisico all’auto: tramite l’interfaccia OBD (On-Board Diagnostics) presente sulle auto per motivi di diagnostica e raccolta di informazioni, è possibile interagire con tutte le unità elettroniche e quindi con tutte le funzionalità automatizzate realizzate
- short-range distance: ne fanno parte il sistema passivo dell’antifurto (10 cm), il sistema di lettura della pressione dei pneumatici (1m), i sistemi Keyless per apertura e start engine (5-20m) e tutti i sistemi connessi via bluetooth (10m)
- long-range distance: ne fanno parte radio data system, sistemi di comunicazione Wi-Fi o 4/5G, Internet App realizzate per gestire l’auto.
Tutte le interfacce sopra esposte possono essere utilizzate per perpetrare attacchi al software che gestisce tutti i servizi dell’auto al fine di prenderne il controllo.
Quali rischi potrebbero comportare l’hackeraggio del sistema tecnologico di un’automobile?
Sfruttando le vulnerabilità che possono essere presenti sulla superficie di attacco appena descritta è possibile ad esempio:
- Modificare la velocità della macchina agendo sulle unità elettroniche che governano l’acceleratore o agire direttamente sul freno.
- Modificare la distanza della macchina da un veicolo che lo precede, alterando il modo in cui l’auto accelera o frena.
- Ruotare lo sterzo dell’autovettura agendo sui relativi attuatori.
- Accedere al sistema di Infotainment da remoto per registrare la voce, o carpire informazioni sul tragitto impostato dal navigatore.
In sostanza ogni singolo comando implementato dall’auto in maniera non meccanica può essere compromesso. I rischi possono quindi comportare da un furto di informazioni a compromissione della sicurezza fisica dei passeggeri e altri utenti della strada.
Visto il ruolo abbastanza delicato è necessario creare delle figure ad hoc anche in termini di assistenza clienti, qualora il sistema andasse in crash totale?
Certamente. Anche nella fase di supporto al cliente, nei punti di assistenza serviranno maggiori competenze in IT, elettronica e sicurezza, anche in termini di rispetto dei requisiti di privacy. Ecco perché sarà fondamentale una maggiore specializzazione nelle tematiche cyber e big data. Non è un caso, quindi, se nella nostra attività di centro tecnologico per il testing e la certificazione dell’autoveicolo ci siamo organizzati per offrire soluzioni anche ai fini della sicurezza digitale, grazie alle competenze di Imq Minded Security, società operante nel settore della software security by design da quasi quindici anni e di recente acquisita dal Gruppo IMQ di cui facciamo parte.
Gli aspetti, di cyber security, mi preme sottolineare, non sono semplicemente un requisito aggiuntivo da garantire. In questo momento, ma sempre più in futuro, la sicurezza dei software on board è e sarà la conditio sine qua non per garantire l’efficacia degli altri requisisti di sicurezza richiesti alla vettura. La funzionalità della sicurezza passiva (mitigazione degli effetti di un urto) e di quella attiva (prevenzione degli incidenti), nonché le prestazioni di efficienza ed emissioni da cui dipendono gli impatti ambientali, continueranno ad essere garantiti se anche la sicurezza digitale lo sarà. I test sulle vetture “moderne” dovranno richiedere sempre più un approccio olistico, che consideri come componenti integranti tutti gli aspetti di sicurezza che coinvolgono i passeggeri delle vetture e gli utenti delle strade. È con questa consapevolezza e obiettivo che stiamo lavorando al centro tecnologico di testing e certificazione Automotive di CSI, operando tra l’altro sia come laboratorio EuroNCAP (rating sicurezza) e membro del gruppo di lavoro del consorzio GreenNCAP (rating impatto ambientale), realtà con le quali condividiamo tale approccio olistico.
Per altri contenuti iscriviti alla newsletter di Forbes.it CLICCANDO QUI .
Forbes.it è anche su WhatsApp: puoi iscriverti al canale CLICCANDO QUI .