Nel mondo ci sono sempre più auto connesse. E ogni nuovo modello, ogni aggiornamento software, aumenta il numero di dati condivisi. Questo senza nemmeno considerare l’enorme quantità di dati necessari per la guida autonoma. Ma con la connessione online, arrivano anche i problemi di sicurezza che chiunque abbia un computer conosce. Come combinare quindi il mondo dell’automotive con quello della cybersecurity? Abbiamo chiesto a Omar Morando, CTO di Sababa Security, di aiutarci a capirlo.
Automotive e cybersecurity, un binomio sempre più necessario
Il mercato automobilistico sta vivendo una fase di profonda trasformazione. Entro il 2023, l’anno prossimo, si prevede un aumento del +134% di veicoli connessi: si passa dai 330 milioni del 2018 ai 775 milioni entro i prossimi dodici mesi. Gli esperti prevedono che il terzo livello di guida autonoma diventerà mainstream, il quarto arriverà nel 2024: a questo punto l’intervento umano servirà solo a supervisionare in caso di condizioni meteo particolare. Siamo a un passo dalla guida completamente autonoma (livello 5).
Questo significa che entro il 2025 ogni auto produrra 25GB di dati all’ora, 500GB per quelle ad autonomia completa. Una quantità di dati enormi nel cloud. L’aumento del numero di dispositivi connessi e l’incremento sostanzioso della quantità di dati, necessiterà interventi dal punto di vista tecnologico e strutturale. Ma un valore che i costruttori, i fornitori e i post vendor del settore aumotive non possono ignorare è la sicurezza: la cybersecurity diventerà importante quanto la prontezza degli air-bag e la qualità dei sensori.
Una nuova sfida di sicurezza informatica
Il settore automotive ha già diversi standard per garantire la sicurezza informatica dei veicoli. C’è l’IEC 62443 per la sicurezza dei siti produttivi, ISO/SAE 21434 per la sicurezza cyber lungo tutto il ciclo di vita dell’auto. E poi l’UNECE R155-156 per la sicurezza degli aggiornamenti software e i sistemi di gestione, che è già obbligatorio per i nuovi veicoli e diventerà mandatorio per tutti dal luglio 2024.
Ma sebbene ci siano già alcuni standard in campo, i sistemi automotive non hanno una lunga esperienza in tema cybersecurity come le altre strutture IT. I rischi per questo settore ci sono e non possono essere ignorati.
Omar Morando, il CTO di Sababa Security, ci spiega che: “I rischi sono enormi perché i veicoli sono sempre più connessi e dialogano con diversi sistemi, tra cui altri veicoli, infrastrutture, qualsiasi entità che possa influenzarli. Oggi i veicoli sono in grado di comunicare sia a corto raggio, nel giro di 50/100 metri – come può avvenire per esempio in prossimità di un semaforo intelligente dotato di telecamera per la gestione degli incroci – sia a lunga distanza con le connessioni 4G/5G; logicamente ciò li espone ad attacchi anche da remoto“.
Cybersecurity e Automotive, ci vuole un’approccio di sistema
Ma oltre al rischio legato al veicolo stesso, ci sono quelli che riguardano le infrastrutture cui si connette. Morando ci spiega infatti che “i rischi, oltre ad essere strettamente legati al veicolo, sono legati alle infrastrutture che lo circondano. Mentre ora il veicolo è soggetto a normative e standard volte a renderlo il più sicuro possibile (UNR155), non è detto né garantito da alcuna normativa che le infrastrutture a contorno lo siano. Si pensi per esempio alle colonnine di ricarica delle auto, ai sensori per il controllo del traffico, ai semafori intelligenti“.
Sembra quindi che, almeno per il momento, gli standard di sicurezza si applicano solo al veicolo e non a tutti i possibili punti di contatto. “Quello che immagino e spero per il prossimo futuro è che, di pari passo con quanto avvenuto a livello normativo per il veicolo, vengano introdotte indicazioni standard per rendere sicure anche le infrastrutture a corredo“.
La sicurezza informatica di un veicolo infatti deve avere per forza di cose un approccio olistico. Partendo sì dalla sicurezza della strumentazione interna (dal centro di controllo passando per i sensori, ma anche l’infotainment) e delle interfacce del veicolo (Wi-Fi, Bluetooth, fino al GPS e alle porte USB. Ma poi deve riguardare anche gli operatori mobile che connettono a internet e le applicazioni cloud, comprese quelle per interfacciarsi alle smart city (semafori intelligenti, controlli smart) e alle centraline di ricarica.
Rischi reali: gli hacker attaccano già i veicoli
Se a livello teorico tutti capiamo l’esigenza di difendere le auto dai cybercriminali, chi non segue il settore potrebbe pensare che gli attacchi hacker ai veicoli esistono solo nel film di spionaggio. Ma Morando ci spiega che non è così: diversi ricercatori hanno dimostrato che è possibile.
“Ci sono già stati esempi di attacchi informatici a veicoli andati a buon fine. Nel 2015, i due esperti di cybersecurity Chris Valasek e Charlie Miller sono riusciti ad hackerare una Jeep Cherokee a dieci miglia di distanza, intervenendo sui comandi di frenata della vettura, attivandoli o disabilitandoli da remoto.
“Per citare un esempio più recente, a febbraio di quest’anno, Davide Colombo, fondatore in Germania di una startup di cybersecurity ha hackerato i sistemi di oltre venti Tesla in dieci Paesi diversi, riuscendo ad accendere le vetture e ad attivare diverse funzioni da remoto“.
Urge quindi intervenire. Come spiega Morando, “Oggi non ci troviamo in una condizione di sicurezza. I rischi sono reali e concreti perché mettere su strada auto sempre più arricchite elettronicamente e tecnologicamente – con sistemi di guida autonoma, di controllo della frenata, di mantenimento della carreggiata – significa vendere veicoli più facilmente attaccabili e quindi vulnerabili che devono essere adeguatamente protetti“.
Attenzione alla sicurezza, anche normativa
In questi anni abbiamo potuto vedere come la sicurezza informatica stia sempre più al centro anche delle questioni di cronaca e politica. Sempre più ci rendiamo conto che la cybersecurity è un valore che fa istituito e normato con attenzione, anche in settori potenzialmente ad alto rischio come l’automotive.
Morando commenta: “Seppur in ritardo, finalmente vediamo smuoversi qualcosa a livello normativo che pone l’attenzione sulla cybersecurity. Fino a poco tempo fa l’approccio in questo settore era considerare la cybersecurity come un qualcosa che è bene avere, ma di cui si può fare a meno, soprattutto perché rappresenta un risparmio in termini di costi. Adesso, per poter mettere un veicolo su strada è obbligatorio avere un sistema sicuro, cyber safe. È la prima volta che si vede – in campo civile – una regolamentazione imporre vincoli legati alla sicurezza informatica per autorizzare o meno la vendita di un prodotto”.
Ma la sicurezza non arriva a scapito dellì’innovazione. “Ciò che è importante sottolineare è che la cybersecurity non è bloccante o limitante, nemmeno in termini di sviluppo. È un modo diverso di concepire le cose. Semplicemente viene fatto ciò che si faceva prima ma in modo sicuro, mantenendo un livello di prestazione e funzionalità del tutto inalterato“.
Gli strumenti di cybersecurity per il mondo dell’automotive
Per assicurare la sicurezza informatica agli OEM, ai fornitori e alle aziende del settore automobilistico, Sababa Security ha iniziato a offrire servizi specialistici. Un cambiamento che con ogni probabilità riguarderà l’intera industria della cybersecurity nel medio periodo: il numero di veicoli connessi renderà l’automotive un settore fondamentale per chi si occupa di sicurezza, come è successo qualche anno fa con la sicurezza mobile.
Sababa ha già all’attivo diversi servizi, come l’Automotive Assessment per permette di verificare la conformità alle attuali normative. Valutando i possibili gap e strutturando delle roadmap per colmarli, dopo aver valutato l’attuale stato delle infrastrutture automobilistiche. Ma l’azienda ha anche lanciato un servizio di Automotive Security Consulting, che permette di valutare la sicurezza sia dei veicoli che a livello di OT e ICS, assicurando di garantire la cybersecurity a 360 gradi.
Particolarmente interessante il servizio di Automotive Penetration Testing, specie con il kit da poco annunciato Sababa Automotive Testbed. Che permette di riprodurre l’intera architettura standard di un veicolo in una valigetta portatile, per aiutare a verificare la sicurezza del mezzo.
Inoltre ci sono servizi come l’Analysis of Compromise, per investigare eventuali incidenti di cybersecurity e fornire report dettagliati di threat actor, con tattiche adottate e tecniche. Senza trascurare la questione della formazione. Con corsi di Automotive Security, esercitazioni sul Testbed per provare i penetration test e anche la Security Awareness per i dipendenti.
Se moltissimi altri settori hanno adottato criteri di sicurezza informatica in ritardo, l’automotive ha la possibilità di puntare sulla cybersecurity da subito. Garantendo la sicurezza di chi guida e di tutti gli altri soggetti in strada.