Automotive Cybersecurity: rischi, compliance e attori impattati

In occasione del CSET – la conferenza internazionale dedicata alla cyber security per le imprese e le infrastrutture promossa da START 4.0 – abbiamo avuto la possibilità di organizzare una tavola rotonda sul tema della cyber security in ambito automotive, a cui hanno contribuito diversi esperti in materia. Con l’avanzata delle smart technologies, anche l’industria automobilistica ha subito notevoli cambiamenti tecnologici che hanno portato all’introduzione di numerose innovazioni nel settore dei veicoli autonomi. Supportato dalle preoccupazioni legate alla sicurezza stradale, dall’aumento del traffico (e non solo), il numero di veicoli connessi è in costante crescita, spesso sottovalutando però i rischi ad essi associati.

Approfondisci l’argomento leggendo la panel discussion moderata dal nostro CEO Alessio Aceti, che ha visto la partecipazione di Giuseppe Faranda, Omar Morando, Andrea Tomassi, Gianfranco Vinucci e Pierluigi Avvanzo.

Tutti noi viaggiamo su mezzi – che siano auto, pullman, metropolitane, treni o aerei – che sono sempre più connessi e soggetti a rischi digitali. È un tema di cui si parla da molto tempo, ma c’è un giorno zero in cui l’industria automotive si è resa conto che c’era effettivamente un problema legato alla sicurezza? Come ha risposto a questa esigenza e cosa cambierà in termini di regolamentazione e requisiti di omologazione?

Sì, c’è un giorno zero – un po’ come in tutte le storie dell’orrore – che coincide con il risveglio dal grande entusiasmo di voler inserire sempre più features all’interno dei veicoli. Ci si è resi conto infatti che il tema della cyber security è di fondamentale importanza, specialmente per quei settori che stanno attraversando una fase di trasformazione digitale. Tutto è iniziato nel 2015, con il famoso tentativo riuscito di hackeraggio di una Jeep Cherokee da parte di due ricercatori americani, Charlie Miller e Chris Valasek, che iniziarono ad interessarsi al mondo dell’automotive e a far vedere che effettivamente ci sono delle vulnerabilità. Da quel giorno in poi, quasi tutte le aziende del settore hanno iniziato a strutturarsi con dei team di cybersecurity interni, altre hanno acquisito società o si sono appoggiate a società esterne.

Si è partiti con una norma di tipo generalistico, la SAE (Society of Automotive Engineers) J3061, che raccoglieva buone prassi e linee guida per le industrie automotive in materia di cyber security. Questa norma è stata trasformata poi nello standard ISO 21434 (Road Vehicles – Cyber Security Engineering), che copre tutto il ciclo di vita della vettura, dalla fase di progettazione a quella di rottamazione. La norma è stata poi presa in mano da uno degli enti normativi che si occupa di definire i requisiti di omologazione ed è diventata la normativa UN ECE 155. Quest’ultima prevede che – a partire dal 2023 – tutti i costruttori automobilistici rispettino e debbano farsi certificare determinati requisiti legati alla cyber security.

Giuseppe Faranda, CEO di Drivesec

Quando parliamo di rischi e cyber security, si parla anche di consapevolezza: spesso infatti non si ha la percezione di quanto sia reale il rischio. Qual è il livello di esposizione, percepito e reale, degli attacchi informatici di un veicolo moderno, che sia esso privato o pubblico? Parliamo solo di protezione delle informazioni personali o di potenziali manomissioni e danni a cosa e persone?

Non parliamo soltanto di informazioni personali che possono essere esposte. Oggi abbiamo veicoli che interagiscono tra di loro per scambiarsi informazioni sul traffico (V2V – vehicle to vehicle), veicoli che comunicano con infrastrutture (V2I – vehicle to infrastructures), veicoli che comunicano informazioni ad una qualsiasi entità che possa influenzarli (V2X – vehicle to everything). Esistono dunque diverse tecnologie che permettono ad un veicolo o un mezzo di trasporto di interagire con il mondo esterno e ciò può avvenire secondo due modalità: short range – che implica l’essere in prossimità del veicolo per poter comunicare – o long range – comunicazione 4G/5G. Le informazioni che possono essere recuperate non sono solo dati personali o dati statistici del mezzo, in quanto è possibile accedere all’interno del veicolo stesso. In che modo? All’interno di un autoveicolo modello troviamo 100/130 centraline totalmente aggiornabili da remoto che comunicano con reti interne che dovrebbero essere protette, ma ciò non accade sempre. L’aspetto della sicurezza non è più soltanto protezione del dato, ma è protezione dell’accesso al mezzo stesso e al controllo che può effettivamente avvenire. Nelle attività di un ricercatore di sicurezza, quando si trova una vulnerabilità, l’obbligo morale e professionale è quello di informare il costruttore perché possa porre rimedio. Ma se è un cyber criminale a trovarla, è tutta un’altra storia.

Ci troviamo quindi di fronte ad una superficie di attacco molto ampia e i fattori di rischio sono poco percepibili dall’utente medio esterno al settore della cyber security. Non a caso, c’è un obbligo di legge che impone, dal 2023, la necessità da parte del costruttore di rispondere a determinati requisiti di cyber security dando prova effettiva che ciò che è stato fatto consente di avere un mezzo in grado di essere sufficientemente sicuro, stante il livello tecnologico di conoscenza del momento.

Omar Morando, Automotive Cybersecurity Expert

In che modo ASRG aiuta a gestire queste criticità e quali sono gli scenari che ritenete importanti?

ASRG è un’associazione che conta più di 7 mila partecipanti ed è presente in più di 20 paesi. Il nostro fine ultimo è quello di creare consapevolezza in un mondo – quello dell’automotive – che sta cambiando. Vorrei mettere in evidenza due aspetti: security e safety. In ASRG vogliamo mettere insieme e far convergere questi due valori, creando conoscenza.

Nell’ambito automotive è necessario un cambiamento di paradigma che deve saper rispondere ai nuovi regolamenti. Il nostro obiettivo è quello di creare e diffondere conoscenza tra coloro che partecipano alle nostre iniziative, creando network e collaborazione.

Non meno importante è anche l’attività ASRG Academy Network che vuole mettere in contatto le realtà più diffuse per creare scambio di informazioni, a livello universitario e coinvolgendo importanti partner.

Andrea Tomassi, ASRG Italy Chapter President & Founder – ASRG EU Lead

Abbiamo fatto riferimento agli aspetti normativi in materia di sicurezza, non solo una volta che il veicolo è in strada, ma anche durante il ciclo di produzione. Come e quali sono gli aspetti più importanti da considerare?

Siamo ancora in una fase abbastanza preliminare. Le aziende in questo momento stanno cercando di rincorrere le nuove regolamentazioni per apportare una serie di processi e strumenti tecnologici che possano supportare la traduzione di questi requisiti di omologazione in qualcosa di tangibile.

Si fa grande riferimento alla fase di progettazione e sviluppo dei veicoli connessi, che è sicuramente importantissima in quanto prima si riesce ad individuare le vulnerabilità, più facile sarà poi porvi rimedio e mettere sul mercato un prodotto che rispetti determinati requisiti di cyber security. Rimane comunque l’importanza vitale di effettuare un monitoraggio continuo del veicolo anche una volta che è in commercio. Per quale motivo? Innanzitutto per un motivo di tempistiche di produzione. Quando compriamo un’auto, questa ci viene consegnata in tempi abbastanza brevi. L’autovettura però rimarrà sulle strade per diversi anni e, come detto prima, ha al suo interno oltre 100 centraline, connesse tra di loro e all’esterno.

Se dunque alcune vulnerabilità potranno essere riconosciute nella fase di sviluppo e produzione, alcune invece sono individuabili solo una volta che l’auto sarà messa in commercio. Per questo motivo, è fondamentale avere un processo di monitoraggio continuo per capire se esistono vulnerabilità che non sono state individuate o se ci sono segnali  che possono indicare comportamenti anomali in materia di cyber security.

Gianfranco Vinucci, COO di PC Automotive

Entrando nel pratico, quali sono gli strumenti a disposizione per implementare tali processi?

Si parla molto del Vehicle SOC, ovvero un Security Operation Center che, anziché raccogliere dati da server, computer e sistemi, li raccoglie dai veicoli e filtra quelli utili in termini di sicurezza. È un tema oggi molto diffuso perché esiste una reale esigenza, ovvero quella di monitorare in maniera continua tutte le comunicazioni dal veicolo verso il back-end – quindi verso società e realtà che forniscono servizi alle macchine connesse – così come il flusso di informazioni che dai back-end arriva alla macchina (spegnimento, accensione).

Il Vehicle SOC è uno strumento che può sicuramente aiutare. Analogamente alla famosa triade utilizzata nel mondo IT e OT (monitoraggio di strumenti tecnologici, processi e persone che utilizzano tali strumenti), il Vehicle SOC raccoglierebbe dati da diverse fonti (vettura, aziende che fanno ricerche, provider di servizi) per aggregarle, consolidarle e applicare poi delle regole di identificazione delle anomalie. A quel punto, sarebbe poi necessario articolare un processo di investigazione dell’anomalia per verificare se essa è collegabile ad una reale minaccia e poi di Incident Response per capire come affrontare tale minaccia (nel caso più positivo, attraverso un aggiornamento da remoto).

È un processo continuo che deve essere attivato sia per l’autovettura che per i servizi connessi.

Gianfranco Vinucci, COO di PC Automotive

Parlando di mezzi un po’ più futuristici, qual è il rapporto con la sicurezza informatica?

Nel 2020 è stato reso obbligatorio per tutto ciò che vola (anche i droni da hobby) il protocollo ADS–B – Automatic Dependent Surveillance–Broadcast – che trasmette a chiunque ascolti, in chiaro, coordinate GPS, altitudine, velocità, numero identificativo del veicolo. Si tratta di una trasmissione di dati che può avere un impatto notevole sulla sicurezza. Basta un transricevitore da terra per ascoltare questi dati, cancellarli dall’aria o trasmetterne altri. Qualunque velivolo – privato o di operatori (per esempio sanitari) – che volano al di sotto dei 3000 metri trasmettono dati auscultabili e facilmente modificabili e ciò rappresenta un rischio per la sicurezza nazionale.

La cosa importante è la creazione di una risposta ridondante e questa deve basarsi su 3 pilastri fondamentali, non solo focalizzandosi solo sui software, ma prendendo in considerazione anche hardware e firewall.

Pierluigi Avvanzo, CTO at OilChain Inc.

Dal punto di vista di chi sviluppa soluzioni aftermarket e di mobilità, quale sarà l’impatto, considerando che l’accesso alle informazioni di bordo è un elemento chiave per questi player?

La cosa importante qui è raggiungere un buon compromesso tra la sicurezza di una vettura e lo sviluppo di tutti i business che sono intorno alla vettura connessa e autonoma.

Per esempio, la vettura connessa qualche volta necessita di essere riparata. C’è un service in officina che consente di sostituire le centraline e questo può avvenire sia nelle officine “ufficiali” del costruttore automobilistico sia in officine indipendenti. La vettura passa quindi da un ambiente completamente chiuso ad un ambiente completamente aperto, che però deve essere protetto.

Ci si trova a dover gestire un ambiente intelligente che può collegarsi. Ciò significa che è necessario gestire l’accesso alla vettura sulla base di ruoli e autorizzazioni – esisterà un’autorizzazione per attività che devono essere fatte da chi si occupa di raccogliere informazioni di posizionamento, della manutenzione o della ricarica. Ci deve essere interazione tra chi sviluppa il sistema di sicurezza della vettura e tutti coloro che hanno bisogno di dati.

Giuseppe Faranda, CEO at Drivesec

Qual è lo stato di maturità della cybersecurity nel trasporto pubblico e nella supply chain?

Come detto prima, dal 2023 bisogna essere cyber safe con i mezzi. Il costruttore del mezzo è responsabile della cyber sicurezza del proprio veicolo, il che comporta il coinvolgimento dei tier 1 e 2 di provider che forniscono la centralina elettronica, i sensori radar e altre cose. Diventa quindi una catena e anche i fornitori devono adeguarsi affinché il veicolo sia omologato. Il problema è che la catena è estremamente lunga e il coinvolgimento dal punto di vista delle responsabilità degli altri anelli è, ad oggi, lasciato alla sensibilità di chi fornisce il servizio.

Ci sono dei prodotti after-market che esulano dalla responsabilità del costruttore e non rientrano nella certificazione dell’omologazione del mezzo, ma possono di fatto rappresentare l’anello debole.

C’è l’esigenza di conquistare il mercato, il resto viene dopo. Come è successo con gli elettrodomestici intelligenti, la necessità era quella di lanciare il prima possibile il nuovo frigorifero smart, senza considerare l’aspetto della cyber security. Se da un lato c’è finalmente una presa di consapevolezza degli aspetti critici di sicurezza legati ai veicoli, siamo ancora molto indietro per quanto riguarda la parte infrastrutturale perché ci vorrà ancora qualche anno, qualche incidente, qualche nuova regolamentazione per farci correre ai ripari.

Quello che va fatto è anticipare i tempi, fare formazione per trasmettere questo messaggio importante. Ci sono informazioni che sono davvero critiche e degli aspetti di sicurezza che non sono più rimandabili o procrastinabili. Sono temi che devono essere diffusi, bisogna prendere consapevolezza dei fattori di rischio con modelli che siano realmente chiari. Un altro problema infatti è che questo tema spesso non viene preso in considerazione perché non si capisce, è complicato. È un topic molto delicato, sofisticato, richiede competenze specifiche e quindi bisogna utilizzare un linguaggio semplice e comprensibile a tutti per rendere chiara quale sia l’esposizione reale e quali soluzioni pratiche e relativamente semplici si possono trovare.

Omar Morando, Automotive Cybersecurity Expert

La crescente digitalizzazione dell’industria automobilistica sta aumentando la complessità dei veicoli moderni: ogni punto di connessione è una potenziale “porta d’ingresso” per gli hacker, rendendo così la cybersecurity una necessità che non può più essere ignorata se si vuole evitare la compromissione delle funzioni critiche di sicurezza e della privacy dei clienti.