L’industria dell’auto è definitivamente entrata nell’era digitale, con le sue opportunità e le sue sfide: nuovi modelli di business da un lato, nuove sfide di cybersecurity, privacy e compliance dall’altro.
Secondo Juniper Research, i veicoli connessi in uso saranno 367 milioni su scala globale nel 2027 contro 192 milioni quest’anno, pari a una crescita del 91%, grazie ai progressi nei sistemi di assistenza avanzata alla guida Adas e a piattaforme di infotainment di bordo sempre più ricche di funzionalità. Questa trasformazione digitale porta con sé la necessità di garantire la sicurezza del veicolo dal punto di vista informatico e di proteggere l’integrità e la riservatezza dei dati: il Global automotive cybersecurity report 2022 stima che ogni auto connessa produce 25 GB di dati all’ora (che diventano fino a 500 GB nell’auto a guida completamente autonoma) per comunicare con i sistemi cloud, gli altri veicoli (comunicazioni V2V) e le infrastrutture (V2I).
Come proteggersi da attacchi informatici che sfruttino questa nuova rete di connessione? Le norme ci sono e, pur interessando specificamente i costruttori, ricadono su tutta la supply chain, dove ogni anello è potenzialmente attaccabile dagli hacker.
Cybersecurity in auto: le norme per siti produttivi, veicoli e software
Sono tre, in particolare, le normative che interessano l’industria.
La IEC 62443 si occupa della sicurezza dei siti produttivi e descrive gli aspetti tecnici e di processo in materia di cybersecurity per i sistemi OT (Operational Technology) e di automazione e controllo.
ISO/SAE 21434 ha lo scopo di garantire che i costruttori (gli Oem) siano in grado di identificare, analizzare e gestire i rischi di cyber e potenziali danni legati agli attacchi durante l’intero ciclo di vita del veicolo
UNECE R155 e 156 definiscono specifici obblighi in termini di cybersecurity per tutti i tipi di veicoli, stabilendo i sistemi di gestione della sicurezza informatica (CSMS) e i sistemi di gestione degli aggiornamenti del software (SUMS). Da luglio 2022, la conformità sarà obbligatoria per i nuovi tipi di veicoli, mentre da luglio 2024 si applicherà a tutti i veicoli di nuova fabbricazione. UNECE R155, per esempio, richiede ai produttori di veicoli di valutare se le misure di sicurezza informatica implementate sono efficaci nel resistere alle minacce informatiche emergenti (la normativa ne elenca oltre 60 contro cui i costruttori devono saper garantire protezione). Gli Oem sono inoltre tenuti a fornire dati utili per supportare l’analisi di attacchi informatici tentati o riusciti. La sicurezza degli aggiornamenti software Over-the-air è affrontata invece da UNECE R156.
Il CSMS certificato: un’opportunità per costruttori e fornitori
La certificazione del CSMS, definita dalle regole UNECE, riguarda il costruttore, mentre il fornitore di componenti non è soggetto allo stesso obbligo. Le case automobilistiche, però, si stanno già attrezzando anche nei confronti della loro supply chain, vagliando accuratamente i fornitori e dotandosi di maggiori competenze cyber. I fornitori più avanti nella qualità e sicurezza dei loro componenti hanno l’opportunità di distinguersi sul mercato.
Opportunità si aprono anche per le società di consulenza che possono fornire il loro supporto sulla normativa, le certificazioni, i test cyber e le competenze digitali, come fa Sababa Security, che si occupa di sicurezza OT e ICS (Industrial control systems) e ha competenze specifiche per l’automotive. Un unico consulente per la sicurezza può essere una scelta per semplificare la compliance e assicurare che le linee di produzione, i veicoli e le singole Ecu (Engine control unit, le centraline elettriche dell’auto) siano sicure dal punto di vista informatico per tutto il ciclo di vita del veicolo.
Cybersecurity in auto: gli anelli della supply chain dove si nascondono le vulnerabilità
Il processo di produzione dell’automobile è il primo elemento debole della catena sul piano della cybersicurezza, perché la vulnerabilità si può introdurre fin dall’inizio in un elemento non adeguatamente protetto. Per questo la security e la privacy “by design” sono considerate una risposta solida alle minacce informatiche. Ecco come si configura l’ecosistema dell’automotive e quali sono i possibili punti di attacco ora che l’industria automobilistica abbraccia la trasformazione digitale.
Ambienti di produzione: sistemi informatici come OT/ICS, i macchinari connessi (IloT o Industrial internet of things), relative reti IT
Infrastruttura e applicazioni cloud (per esempio, storage, fleet management, assistenza alla guida, infotainment, diagnostica remota, manutenzione predittiva, servizi premium, navigazione, stazioni di ricarica…)
Interfacce esterne: Wi-Fi, Bluetooth, Gps, ZigBee, Usb
Interni del veicolo: Central gateway (il sistema che trasferisce dati all’interno dell’auto), Powertrain (gruppo propulsore), Chassis control (regolazione elettronica delle sospensioni), sistema di infotainment, diagnostica e manutenzione programmata…
Mobile: Telematica, infotainment, tetherig
I rischi cyber per il mondo auto includono: perdita e corruzione dei dati; attacchi man-in-the-middle (un attacco informatico in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti), malware (come i classici virus), ransomware (blocco del sistema con richiesta di riscatto); aggiornamenti software con infiltrazioni di malware; attacchi via Usb; vulnerabilità nelle app.
L’attività di penetration test
Più aumentano le interfacce utente digitali e le connessioni alla rete internet e più si allarga la superficie di attacco dei veicoli. Per questo i nuovi standard di conformità come UNECE R155-156 obbligano i produttori del mercato automobilistico e gli sviluppatori di sistemi a condurre attività di penetration test dei sistemi e degli interi veicoli.
Come spiega Sababa Security, che svolge questo tipo di attività per le aziende dell’automotive, il pen test consente di verificare nel concreto se un veicolo, i suoi componenti e le relative infrastrutture sono sicuri dal punto di vista informatico. Durante l’attività di penetration test un team di esperti cerca di ottenere il massimo dei privilegi possibili, utilizzando le stesse tecniche che utilizzerebbero eventuali attori malevoli, fornendo poi ai costruttori o fornitori informazioni sulle vulnerabilità scoperte e sui potenziali rischi.
Tutto il veicolo o parti di essi possono essere oggetto di penetration test: per esempio, i vari tipi di Ecu, le reti wireless e mobili per le comunicazioni del veicolo con gli altri veicoli (V2V) e con l’infrastruttura (V2I, come avviene nelle stazioni di ricarica elettrica o con i semafori intelligenti). Anche la cybersicurezza dei siti di produzione e delle infrastrutture di backend può essere messa alla prova con il pen test.
Cybersecurity in auto: l’importanza della formazione e dei talenti
La regola numero uno della cybersicurezza, in ogni settore, è il comportamento responsabile delle persone, ovvero la cultura della sicurezza. Altrettanto importanti sono le competenze: la cybersicurezza delle aziende, banalmente, richiede che le aziende abbiano degli esperti di sicurezza.
Per questo Sababa Security offre anche Sababa Automotive Training, un insieme di programmi di formazione finalizzati allo sviluppo di competenze specifiche in materia di automotive cybersecurity tra i professionisti interni dell’azienda, dalle competenze di base per tutti i dipendenti (per esempio, come riconoscere e-mail di phishing o come segnalare correttamente gli incidenti di sicurezza) a conoscenze più specifiche sull’architettura del veicolo e le tecniche di attacco fino allo sviluppo di capacità di hacking dei veicoli e alle esercitazioni live tramite l’Automotive Testbed proprietario di Sababa.
L’Automotive Testbed che Sababa Security sta sviluppando riproduce l’architettura standard di un veicolo, racchiusa in una valigetta portatile. L’obiettivo è fornire alle case automobilistiche e ai fornitori uno strumento leggero e alla portata di tutti. Già quest’anno partiranno le attività di formazione dei penetration tester automotive sulle attività richieste dalle normative UNECE R155 e R156. Dal 2024 si potranno anche testare nuovi protocolli di comunicazione V2V (vehicle-to-vehicle) e V2I (vehicle-to-infrastructure) e anche realizzare versioni personalizzate del testbed con apparecchiature proprietarie dei clienti.