Come un CISO può cambiare la visione del top management in materia di sicurezza informatica
Gennaio 18, 2023
Differences between IT and OT
Febbraio 8, 2023
Durante l’ottava edizione della CSET Conference – l’evento internazionale dedicato alla cybersecurity per le infrastrutture critiche di energia e trasporto promosso da START 4.0 – Sababa Security ha avuto l’opportunità di organizzare una tavola rotonda dedicata alla cyber security in ambito automotive, che ha visto la partecipazione di diversi esperti del settore.
Il mercato automobilistico si sta trasformando attivamente e si prevede che, a livello globale, i veicoli connessi passeranno dai 330 milioni del 2018 a 775 milioni nel 2023. Per gli OEM, i fornitori di primo livello e i post vendor significa gestire un’enorme quantità di dati, garantendo la sicurezza informatica del veicolo, nonché l’integrità, la riservatezza e la disponibilità dei dati stessi.
Fortunatamente, l’industria automobilistica dispone di numerose normative volte a fornire linee guida per tutti gli operatori del mercato automotive, tra cui ISO/SAE 21434, UNECE R155-156 e altre ancora.
Approfondisci l’argomento leggendo la panel discussion moderata dal nostro CEO Alessio Aceti, a cui hanno contribuito Omar Morando, Gianfranco Vinucci, Paolo Emiliani, Massimo Centofanti, Gianpietro Calai e Sandro Moretti.
Omar, da tempo tu e il tuo team vi occupate di tematiche tecniche legate ai veicoli, puoi citare qualche esempio di attacco noto e quali sono le conseguenze che questi attacchi possono avere?
Il tema è estremamente interessante. Le auto, come sappiamo, sono sempre più connesse e nonostante sia un argomento diventato molto popolare negli ultimi tempi, le prime avvisaglie di attacchi rivolti alle autovetture risalgono al 2002, quando è stato eseguito un primo attacco di prossimità. Successivamente si sono verificati altri episodi che però non hanno mai fatto alzare la guardia contro i rischi cyber legati alle autovetture, specialmente perchè fino ad allora ci si era trovati di fronte a situazioni in cui l’attaccante era vicino o in prossimità del mezzo.
Il momento che ha destato più scalpore e che ha portato le persone ad aprire gli occhi è stato quando, nel 2015, i due esperti di cyber security Chris Valasek e Charlie Miller sono riusciti ad hackerare una Jeep Cherokee a dieci miglia di distanza, intervenendo sui comandi di frenata ed accelerazione. Quindi anche quella parte interna che si pensava fosse inavvicinabile, è stata raggiunta dagli attaccanti.
Da lì in poi si sono susseguiti numerosissimi altri attacchi, fino ad arrivare ad uno dei più eclatanti, a febbraio di quest’anno, quando David Colombo ha hackerato i sistemi di oltre venti Tesla in dieci Paesi diversi, riuscendo ad accendere le vetture e ad attivare diverse funzioni da remoto.
Il rischio a cui siamo esposti è estremamente concreto e forse non ci rendiamo conto dell’impatto che tutto questo può avere sulla sicurezza anche fisica delle persone: quali possono essere le conseguenze se un hacker riesce a bypassare il sistema di sicurezza interno della mia macchina e prendere il controllo del sistema di frenata automatica? Il problema non si limita solo a credenziali o dati rubati.
Un’altra questione da non sottovalutare è la comunicazione tra veicolo e infrastruttura: semafori intelligenti, controllo del traffico, cartellonistica smart. La mia auto può essere sicura dal punto di vista informatico, ma tutto il resto?
Omar Morando, CTO di Sababa Security
Gianfranco, Omar ci ha raccontato brevemente un paio di attacchi noti avvenuti nel corso degli anni. Nella tua esperienza di player internazionale verticale sulla sicurezza informatica dei veicoli, hai mai trovato vulnerabilità critiche? Senza esporre il nome del brand, ci puoi raccontare qualcosa di più?
Riassumerei la mia risposta in una parola: la situazione è imbarazzante. Io rappresento un’azienda focalizzata al 90% sul mercato automotive e specializzata sulla parte di VAPT. Abbiamo un team che si occupa di questa attività full-time e facciamo principalmente ricerca.
Il mercato dei veicoli connessi, soprattutto quello delle autovetture, è molto dinamico. Si parla sempre più di innovazione e di nuove funzionalità introdotte nelle auto: tecnologie di sicurezza, dashboard, telecamere ovunque. Questo aumenta senza dubbio il livello di usabilità, di sicurezza fisica e di appeal del prodotto, ma di conseguenza aumenta anche la complessità tecnologica. Per introdurre questo tipo di features bisogna infatti implementare nuovi sistemi elettronici, nuovi software e così via. Ormai si parla di autovetture con 50 o 100 centraline elettroniche onboard.
Ovviamente ci troviamo di fronte ad una supply chain molto complessa: non c’è un singolo attore che sviluppa tutto, bensì centinaia di player coinvolti nello sviluppo di una singola autovettura – dagli OEM al fornitore e al subfornitore che produce il singolo componente. Di conseguenza, gestire l’intero ecosistema è molto difficile.
Inoltre, il focus principale dei produttori è l’innovazione, ma mentre questa si muove ad una certa velocità, la cybersecurity ha ritmi estremamente più lenti. Ciò implica che molto spesso, per rispettare i tempi di rilascio di un prodotto imposti dal mercato, se ci sono problemi significativi dal punto di vista cyber, si cerca sempre di nascondere la polvere sotto il tappeto.
Omar citava il caso della Jeep Cherokee del 2015. Ad oggi sono passati 7 anni, ma la situazione non è cambiata molto. Sicuramente sono stati fatti passi avanti e se ne stanno facendo altri grazie alle recenti regolamentazioni.
Andando nel concreto, PCAutomotive sta testando autovetture prodotte molto recentemente e abbiamo rilevato vulnerabilità che riguardano nella maggior parte dei casi l’esfiltrazione di dati durante la comunicazione tra il veicolo e i produttori, nonché il sistema di infotainment, con la possibilità di registrare le conversazioni telefoniche. Quest’ultimo è un aspetto che magari non influisce su tutti noi, ma pensiamo ai dirigenti statali o di grandi aziende. Si potrebbe fruttare come strumento di spionaggio.
La cosa certamente che ci ha sconvolti di più è che, in alcuni casi, siamo riusciti ad ottenere il controllo remoto delle autovetture, disattivando anche funzionalità importanti. E qui torna in prima linea il problema legato alla safety del guidatore, delle persone intorno e dell’ambiente.
Chiaramente, la difficoltà che sorge davanti a questi gap è proprio il loro patching: abituati alla security di un server o un pc, il patching di vulnerabilità di un veicolo è molto più complicato.
Gianfranco Vinucci, COO di PCAutomotive
So che SecurityGen si occupa della sicurezza delle comunicazioni mobili. In base a quanto ci hanno raccontato Omar e Gianfranco, vuoi aggiungere qualcosa? Ad esempio, quali sono i rischi di automobili costantemente connesse?
Il tema è estremamente importante. Vediamo possibili scenari futuri ove al momento di scegliere un’auto non dovremo solo scegliere il produttore che ci garantirà la massima sicurezza dell’auto stessa, ma anche a quale provider di rete il veicolo si connetterà e che potrà garantire altrettanta sicurezza, poiché i due aspetti andranno di pari passo.
Per noi che studiamo le vulnerabilità delle reti mobili, un’automobile di nuova generazione è praticamente un device IoT marciante. Di conseguenza, dal momento che questo device è dotato di una sim card – sia essa fisica o virtuale/elettronica – il veicolo ha, come per gli smartphone e qualsiasi device che contenga una SIM, un IMSI, ovvero un indicatore univoco e universale di quella precisa sim card. Conoscendo quell’IMSI o il relativo numero di telefono associato, si possono fare azioni fraudolente mirate verso target specifici/identificati a priori fino ad arrivare a prendere controllo o limitare alcune funzionalità da remoto (in combinazione con eventuali vulnerabilità sw presenti nell’auto).
Queste vulnerabilità sono conosciute dagli esperti cyber delle reti mobili sin dal 2014. Sono noti gli attacchi dei protocolli SS7 o GTP – protocollo maggiormente utilizzato per la connessione dati sia dei device IoT che dei veicoli. Cosa si sta facendo per risolvere la situazione? La domanda è ancora molto attuale: purtroppo, da quanto emerge dalle ns. analisi, c’è molto da fare poichè emergono continuamente nuove falle, nuovi metodi di sfruttare le precedenti che che troppo spesso non sono mai state chiuse.
Paolo Emiliani, Co-Founder, EME Sales & Operations Manager di SecurityGen
Ciò che ci sta aiutando in questo quadro preoccupante è la spinta normativa. Gianpietro, con Omar e Gianfranco abbiamo visto degli aspetti tecnici, ci racconti un po’ quali sono gli aspetti di compliance e certificazione?
Attualmente le norme ISO 27001 per il security management e la ISO 39001 per il road safety management forniscono alcune risposte. L’impatto dal punto di vista della certificazione è ancora limitato (in Italia 1924 aziende certificate ISO 27001 e 503 per la ISO 39001) ma, parlando di automotive security, il binomio security e safety porterà sicuramente ad uno sviluppo importante del settore, accompagnato ad una indubbia sensibilità nei confronti di questi temi. Tale binomio richiede un approfondimento nel merito. Con security si intende l’insieme delle misure adottate per proteggere le informazioni e, conseguentemente, i beni e le persone ad esse collegate dalle conseguenze di possibili eventi nefasti, quali il furto o la distruzione dei dati piuttosto che la perdita della loro riservatezza. La safety è l’insieme delle misure adottate per proteggere le persone e i beni ad esse collegati da eventuali incidenti e disastri, non solo naturali e non solo involontari, fornendo metodi e strumenti sia per la prevenzione che per la gestione controllata.
Tale combinazione necessita di regole e procedure organizzative in modo che l’approccio a tali criticità possa funzionare correttamente. Il ruolo degli standard ISO è una garanzia per ogni organizzazione nei confronti del mercato esterno.
Gianpietro Calai, Lead Auditor di SQS
Restando in tema di UNECE R155 e R156 e ISO 21434, volendo concatenare nel giusto ordine i due standard, possiamo dire che l’Autorità preposta all’omologazione dei veicoli impone ai costruttori di veicoli (OEM) la “compliance” alla R155 come requisito per ottenere l’omologazione del veicolo?
Assolutamente si. La norma nasce per essere applicata e garantire anche una verifica di tipo cyber alle autovetture, appoggiandosi soprattutto all’Annex 5 della R155 che riporta tutte le vulnerabilità e le relative remediation, nonché i controlli che dovrebbero essere effettuati sul veicolo per certificare che sia cyber safe.
Lo standard ISO 21434 va un po’ più nel concreto e spiega come andrebbero fatte le cose a livello di processo. L’approccio che si deve adottare è quello della security by design, ma questo non è un problema che si risolve tramite normative o regolamentazioni, è un problema culturale. Ad oggi, noi non abbiamo una reale percezione del pericolo che può rappresentare un “device IoT su ruote”. Per far sì che siano sicuri è necessario che la security nasca by design. Cosa significa? Nel momento in cui progetto un nuovo tipo di veicolo, devo tenere in considerazione l’aspetto della security, i potenziali rischi cyber. Spesso, quando mi rivolgo ai produttori chiedendogli conto delle loro attività di Threat Analysis and Risk Assessment (TARA), la relativa documentazione non esiste oppure è molto approssimativa. La norma chiaramente dà delle indicazioni a riguardo, ma poi sta al produttore metterle in pratica. Gli elementi per metterci in sicurezza ci sono, si tratta solo di voler intraprendere un percorso che certamente non è semplice né di breve durata.
Ciò che bisognerebbe fare è trasmettere un messaggio di evangelizzazione per far percepire alle aziende quanto sia importante questo percorso e in che modo possa influire sul loro business. Prima Omar citava l’attacco alla Jeep, ma sapete qual è stato l’effetto collaterale di quell’episodio? Il titolo in borsa di Jeep nei giorni successivi è crollato, per un semplice esperimento. Fare cyber security dei veicoli significa quindi proteggere anche il business del produttore.
Massimo Centofanti, Director Cybersecurity Technology Unit di Aizoon
Parlando di normative e standard mi è venuta in mente un’altra domanda. Se penso ad una infrastruttura critica, come una diga, è fissa in un posto e quindi il perimetro normativo è chiaro. Se parliamo di veicoli, parliamo di qualcosa che si muove, che nasce in un certo mercato e magari viene messo in circolazione in altri. Come bisogna comportarsi quindi a livello normativo?
Questa domanda mi dà modo di spiegare un altro aspetto: la normativa si rivolge alle Nazioni Unite, ma ogni Stato che aderisce a questa normativa definisce i propri standard di controllo e la applica come ritiene opportuno. Cosa significa? Il Ministero dei Trasporti Italiano ha pubblicato la procedura di controllo che attuerà, che però è totalmente diversa da quella spagnola, tedesca, francese. Ciò che è stato fatto è che è stato creato un portale accessibile agli enti omologatori al fine di poter condividere tutti i framework di controllo, nella speranza di arrivare un giorno ad un’omogeneità. Diciamo che al momento il regolamento europeo non garantisce la sicurezza in maniera chiara e trasparente in ogni stato membro.
Massimo Centofanti, Director Cybersecurity Technology Unit di Aizoon
Abbiamo sempre detto che i veicoli sono connessi e interagiscono con le infrastrutture. Di conseguenza, abbiamo sempre più attori coinvolti nel mondo della sicurezza dei veicoli. Le multiutilities sono, e saranno, sempre di più legate al mondo dei trasporti, partendo dalle colonnine di ricarica dei veicoli elettrici, le smart cities ecc. Come impattano tali temi sulla governance stessa di tali società?
La nostra azienda è una multiutility che opera nella zona dell’Alto Adige. In questo caso il nostro focus non è il mezzo, ma l’infrastruttura di ricarica: sentiamo sempre più parlare di soluzioni di re-charge che chiaramente implicano delle comunicazioni tra colonnina e vettura e di conseguenza hanno implicazioni anche legate alla sicurezza. Il perimetro di sicurezza da gestire infatti diventa molto più ampio e quindi aumenta la complessità.
Noi siamo una di quelle società certificate ISO 27001 e mettere insieme i concetti IT e OT all’interno della stessa certificazione è complesso perché i paradigmi sono opposti: infatti, se in un mondo IT la riservatezza è fondamentale, per noi, nel mondo OT, è la disponibilità ad essere essenziale.
Il nostro interesse è proprio quello di capire – tramite partner fidati – quali possono essere le soluzioni verticali da attuare, soprattutto nell’ambito OT elettrico, ma non solo perché abbiamo sempre più necessità di mettere in sicurezza tantissimi aspetti. Per esempio, abbiamo una rete per controllare sistemi di irrigazione dislocati sul territorio. La loro protezione è essenziale perché un eventuale incidente potrebbe causare un’irrigazione inopportuna, creando problemi sia di tipo ecologico che ambientale.
Sandro Moretti, Responsabile Network & Infrastructure di Alperia
Gianfranco abbiamo visto insomma che ci sono diverse criticità, sia per aspetti tecnici che di governance e compliance. C’è un talent shortage sul tema vehicle cyber security? Per rimediare, i clienti vi chiedono formazione su tali temi?
Il tema della formazione è nato dopo l’introduzione delle ultime regolamentazioni, che hanno dato la spinta a tutte le aziende del settore a concentrarsi di più sulla cybersecurity. Queste normative hanno principalmente effetto sugli OEM: sono loro che devono ottenere questo “bollino” per poter introdurre nuovi veicoli sul mercato, però alle loro spalle c’è una supply chain molto complessa fatta di moltissimi collaboratori. Ciò che succede è che gli OEM cercano di apprendere i fondamenti di questa regolamentazione per poi trasferire sui diversi fornitori tutti i requisiti richiesti: al fornitore X di centraline non viene richiesto solamente il componente fisico, ma anche tutta una parte di documentazione in cui si attestano determinate operazioni di cyber security, evidenziando se ci sono dei limiti, delle mancanze dal punto di vista informatico, delle vulnerabilità. Il problema è che, come diceva Giancarlo – vuoi per una questione di budget, vuoi per rispettare i tempi di rilascio sul mercato – molto spesso queste informazioni vengono insabbiate.
La formazione noi la eroghiamo essenzialmente su due attori: gli OEM e i fornitori. I supplier al momento sono più interessati alla parte di formazione perché sono entità che fino a poco fa erano concentrati a sviluppare prodotti a buon mercato ed in maniera rapida, senza prestare attenzione alla cyber security. La formazione viene fatta sulle regolamentazioni (principalmente UNECE R155 e R156, ISO 21434), dopodiché accompagniamo i fornitori nella definizione dei processi di governance – quindi come introdurre la cyber security nel ciclo di progettazione, sviluppo e testing. Li seguiamo step by step nel percorso di raggiungimento della situazione attesa e prevista dalle normative, che tendenzialmente è ben distante da quella in cui si trovano.
Generalmente abbiamo corsi standard su temi base come risk assessment, governance, creazione di bandi di gare (per quando l’azienda stessa vuole chiedere ad una terza parte di effettuare assessment e penetration test), ma poi ogni situazione è peculiare. Bisogna quindi entrare in azienda, partire da un’analisi della situazione corrente e poi definire insieme un percorso formativo.
Dopo la formazione, i nostri clienti tendenzialmente capiscono che devono investire pesantemente sulla cyber security. Il budget? Si cerca di recuperarlo anche attraverso gli OEM: se vuoi il prodotto con questi determinati requisiti cyber devi supportarmi.
Gianfranco Vinucci, COO di PCAutomotive
Sandro immagino che questi temi siano rilevanti anche per voi. Se oggi una società come la vostra ha necessità di assumere esperti sul tema o di ricevere formazione verticale sul tema cyber security applicato a IoT e in particolare veicoli, secondo te come si dovrebbe muovere?
È sicuramente un tema complesso e devo dire che lavorare in una provincia di 500 mila abitanti non facilita le cose perché è difficile trovare competenze specifiche nella nostra zona. Le aziende sono fatte da persone ed è importante che all’interno delle organizzazioni ci siano le competenze necessarie e sufficienti per gestire i processi. Bisogna poi capire effettivamente quali sono le vere esigenze, anche in base alle competenze interne che si hanno, e poi avvalersi di consulenze specialistiche per problematiche più verticali. Un modo in cui cerchiamo di affrontare questo tema è coinvolgere sempre di più i ragazzi delle scuole, facendo stage e cercando di farli appassionare a determinate tematiche in modo che possano orientare gli studi verso questo ambito. Cerchiamo inoltre di trovare delle sinergie con le università finanziando corsi e master di specializzazione con l’obiettivo di portare in azienda gli studenti laureati e poi farli crescere internamente.
Sandro Moretti, Responsabile Network & Infrastructure di Alperia
Paolo, ritieni davvero concreti attacchi perpetrati attraverso le reti mobili quali alcuni di quelli menzionati come tracciamenti, MiTM attacks, remote Data collection e quanto questi sono impattanti rispetto ad eventuali attacchi di ordine “applicativo” secondo te?
Nell’ambito reti mobili c’è un grande punto di riferimento, la GSM Authority, che da molto tempo regolamenta la sicurezza delle varie generazioni di reti mobili (2G, 3G, 4G). Di fatto poi queste regolamentazioni vanno applicate e questa è un’altra storia. Lo vediamo spesso: su carta sono definite determinate cose che poi per molte ragioni, nella pratica, non sono tali. Questo è ciò che porta ad avere quei vettori che ci permettono, da ogni punto del globo, di raggiungere una certa SIM (attraverso il suo IMSI), e fare in molti casi anche cose distruttive, per esempio DoS attack, togliendo la connettività a quella specifica SIM. Non sto qui a pesare quanto questi siano più importanti rispetto a quelli applicativi. Di certo sono il mezzo con cui perpetrare determinate tipologie di attacchi da remoto, il che fa aumentare l’esposizione al rischio globale del device connesso. In questo caso una macchina adibita al trasporto di persone.
Paolo Emiliani, Co-Founder, EME Sales & Operations Manager di SecurityGen
Chi fornisce componenti al settore Automotive (agli OEM) – laddove per componente intendiamo un sistema completo, oppure il singolo hardware o il singolo software – deve essere compliant alla ISO 21434?
L’OEM ha la responsabilità nei confronti dell’ente omologatore di fornire una documentazione per garantire una vettura cyber safe, ma inevitabilmente deve fare i conti con l’intera supply chain, che attualmente è in grande difficoltà perché fino a poco fa il suo unico pensiero era quello di mettere insieme i pezzi. Oggi gli viene richiesto di avere delle competenze e fare test che non rientrano nelle loro corde. Spesso non riescono a capire che l’oggetto che producono loro è uno dei tanti che compone un’automobile e ogni piccolo sistema all’interno di un’auto è un punto di accesso sfruttabile.
La norma ha anche dei punti deboli. Quando si vuole introdurre qualcosa che prima non c’era, bisognerebbe fare in modo che questa sia “a prova di sciocco”. Le norme di cui abbiamo parlato fino ad ora non hanno questo tipo di impostazione: esse infatti si limitano ad esplicitare ciò deve essere fatto, ma come farlo viene demandato agli OEM e alla supply chain. Sarebbe stato utile per esempio avere una checklist delle cose da fare.
Come si diceva prima, non esiste safety se non c’è security. Queste norme non si limitano ad evitare che qualcuno ci rubi il dato o la posizione GPS dell’auto, ma ci protegge dai pericoli fisici che un attacco potrebbe comportare.
Massimo Centofanti, Director Cybersecurity Technology Unit di Aizoon
Omar, al CSET si parla sempre di infrastrutture critiche, ma vorrei fare un punto sulla Difesa, visto il periodo storico in cui viviamo. Queste problematiche impattano anche sui veicoli in uso alle forze armate? Come possiamo aiutare l’esercito ad affrontare questi temi?
Quando si pensa alla Difesa, si pensa a componentistiche militari, protocolli militari, algoritmi militari. Io arrivo dal mondo offensive, in particolare dall’industrial, e per esperienza so che chi attacca è sempre un passo avanti rispetto a chi difende e che non esiste un sistema inviolabile al 100%. Al netto di questo, gli scenari sono due. In primis abbiamo i mezzi cingolati, quelli che generalmente non si vedono circolare per strada se non in brutte situazioni. Chiaramente questi hanno una componentistica ed un tipo di organizzazione di sistema di un certo livello. C’è poi però tutta una parte di mezzi dedicata alla logistica, dove la componentistica interna è la stessa di un qualsiasi furgone e quindi le superfici di attacco e le vulnerabilità sono pressoché identiche.
Tornando ai cingolati, sebbene la componentistica interna non sia standard, se si riesce ad intervenire con un malware nella fase produttiva di un componente inserito all’interno del mezzo, posso compromettere l’intero veicolo. Per andare a proteggere un mezzo difficilmente attaccabile dall’esterno devo partire dalla fase di produzione.
Cosa possiamo fare? Il primo aspetto è la consapevolezza: se io non so di avere un problema non lo risolverò mai. Per questo è importante capire come sono messo, inquadrare la mia situazione, ricorrendo ad un audit o un pentest. In secondo luogo, bisogna definire una roadmap di intervento, un percorso di risoluzione di tutte le criticità individuate, partendo dalle più gravi, in modo da sanarle nel breve periodo. Il terzo aspetto è quello della formazione. Solo attraverso la formazione e la preparazione delle persone si può arrivare ad avere un’idea chiara di quale sia la superficie d’attacco, i rischi, l’esposizione e di cosa poter fare per migliorare il quadro.
Omar Morando, CTO di Sababa Security
Abbiamo parlato di player automotive, di utilities, di trasporto pubblico, di smart cities e di difesa ma quali sono i vantaggi anche competitivi ad avere una delle certificazioni che ci hai citato precedentemente?
Innanzitutto, sicurezza e safety sono processi combinati e integrati. L’approccio per processi parte dalla visione d’assieme per poi scendere nei particolari e parte dal principio che se la catena del valore è ben presidiata, l’output può ragionevolmente rispondere a specifiche e requisiti del prodotto/servizio. La certificazione supporta in termini preventivi le diverse organizzazioni che sottendono e fanno parte della filiera di fornitura degli OEM. Sono proprio le PMI che presentano le situazioni potenzialmente più critiche, dovute a carenze organizzative sia per scarsa consapevolezza e conoscenza della materia, che per la difficoltà di trovare risorse competenti. La certificazione non è il fine, ma il mezzo per dotarsi di regole e procedure in grado di rendere le organizzazioni eccellenti, ovvero più performanti per il mercato e più attrattive per il mondo del lavoro.
Gianpietro Calai, Lead Auditor di SQS
