L’auto connessa è uno dei grandi trend del settore, ma dotarla di un software solido e sicuro non è facile. Perché un sistema connesso sia pronto ad essere lanciato sul mercato, è essenziale passare per le necessarie procedure di penetration test e vulnerability assessment per completare completare il cybersecurity assessment del software da montare su veicolo. Il problema? Effettuare un penetration testing in campo automotive è tanto importante quanto complicato, a causa della scarsa disponibilità e dell’elevato costo dei componenti e delle architetture dei veicoli.
Per ovviare a questa limitazione, Sababa Security ha sviluppato l’Automotive Testbed: presentato in occasione all’ottava edizione della CSET Conference, conferenza dedicata alla sicurezza informatica delle infrastrutture critiche di Energia e Trasporto, si tratta di un’apparecchiatura che riproduce l’architettura standard di un veicolo, racchiusa in un supporto portatile.
Vediamo di cosa si tratta.
Auto connesse, il problema della cybersecurity
“L’automotive è un settore particolarmente interessante con un mercato che prevede un aumento del 134% dei veicoli connessi a livello globale, da 330 milioni nel 2018 a 775 milioni nel 2023. I moderni veicoli sono sistemi computerizzati dotati di infinite funzionalità volte ad assistere il conducente, garantire la sicurezza ed offrire intrattenimento. Il continuo aumento delle interfacce utente e delle connessioni cloud sta notevolmente ampliando la superficie di attacco dei veicoli, rendendoli bersagli sempre più interessanti per gli hacker” spiega Alessio Aceti, CEO di Sababa Security.
“Per dare un’idea della dimensione del problema, basta pensare che entro il 2025, ogni auto connessa produrrà 25 GB di dati all’ora e fino a 500 GB se completamente autonoma. Sababa ha voluto cogliere questa sfida studiando un roster di prodotti per assistere gli OEM, i fornitori e gli operatori dell’aftermarket a conformarsi alle normative in campo automotive, garantendo la realizzazione di veicoli sicuri dal punto di vista informatico, la gestione dei dati, la distribuzione degli aggiornamenti e la mitigazione tempestiva delle minacce”.
Uno strumento portatile per testare la cybersecurity delle auto connesse
L’obiettivo del progetto è fornire alle case automobilistiche ed ai fornitori uno strumento leggero e alla mano.
Sviluppato da Sababa Security, operatore italiano nel settore della cybersecurity che fornisce un’offerta integrata e personalizzata di prodotti e servizi gestiti per proteggere i diversi ambienti IT e OT dalle minacce informatiche, l’Automotive Testbed è utilizzabile sia come strumento di formazione per i pentester su quanto richiesto dalle nuove normative UNECE R155 e R156, sia per testare nuovi protocolli di comunicazione V2V (Vehicle-to-Vehicle) e V2I (Vehicle-to-Infrastructure), con la possibilità di realizzare versioni personalizzate con apparecchiature proprietarie dei clienti.
Come funziona l’Automotive Testbed
Lo strumento comprende un’architettura a più centraline ECU/TCU, un secure gateway, un CAN bus, interruttori e attuatori che riproducono i comandi di guida standard e gli indicatori dell’abitacolo, come lo sterzo, l’accelerazione, la frenata, i fari e così via, con una porta OBD-II per interagire con il sistema.
Il portfolio di Sababa Security per garantire la cybersecurity nel settore auto comprende inoltre un pacchetto completo di prodotti e servizi studiato, testato e dedicato esclusivamente al settore dell’auto.
– Automotive Assessment & Compliance: assiste gli OEM, i loro fornitori e altre aziende del settore ad essere conformi sia alle normative specifiche sulla cybersecurity in campo automotive, come ISO/SAE 21434, UNECE R155-156, IEC 62443, sia a quelle più generiche, come il NIST CSF e il National Cybersecurity Framework.
– Automotive Security Consulting: assiste gli OEM per garantire, nell’ambito della normativa UNECE R155, la sicurezza dei siti di produzione dei veicoli.
- Automotive Training: un insieme di programmi di formazione finalizzati allo sviluppo di competenze specifiche in materia di automotive cybersecurity tra i professionisti interni dell’azienda cliente.
- Automotive Analysis of Compromise: fornisce ai produttori di veicoli un’analisi approfondita per valutare se le misure di sicurezza informatica implementate sono efficaci nel resistere alle emergenti minacce informatiche e alle vulnerabilità rilevate.
- Automotive Penetration Testing: l’introduzione di nuovi standard di conformità – come l’UNECE R155-156 – obbliga i produttori del mercato automotive e gli sviluppatori di sistemi a condurre attività di penetration test dei sistemi stessi nonché degli interi veicoli. Gli esperti di Sababa verificano nel concreto se un veicolo, i suoi componenti e le relative infrastrutture sono sicuri dal punto di vista informatico, conformemente alla normativa vigente.