Automotive Cybersecurity

Rischi e tendenze di un settore sempre più digitale, connesso ed elettrico

Sappiamo che ormai da anni il settore automobilistico ha abbracciato la digital transformation ed anche l’elettrificazione. Si parla poco però di quella che è la sicurezza informatica di questi oramai veri e propri data center su strada.

Si pensi che in un’auto elettrica ci sono fino a 3000 chip che ne fanno un autentico computer in movimento, vulnerabile tanto quanto qualsiasi altro device connesso alla rete.

Le auto moderne oggi dialogano con smartphone e altre auto, tramite bluetooth, cloud e cavi. L’Automotive Cybersecurity non è un argomento che interessa solo auto elettriche, ibride e a guida autonoma, ma tutti quei veicoli connessi che hanno computer di bordo e che in qualunque modo possono essere collegati a Internet o ad altri dispositivi, potenzialmente infetti.

Si consideri che ad oggi ci sono più di 230 milioni di veicoli connessi nel mondo (e potrebbero quasi raddoppiare nel giro di un paio di anni).

Le auto, per quanto sottovalutate come oggetto di attacchi IT, sono un bersaglio reale e hanno un’ampia superficie di attacco:

• Infrastrutture di ricarica pubbliche o private (da singole colonnine a intere stazioni elettriche di rifornimento)
• Dispositivi connessi (smartphone, computer di bordo, tablet, chiavette USB, ecc.)
• Malware negli aggiornamenti e nelle app di ricarica

“Con la rivoluzione digitale che sta attraversando il mondo Automotive investire nella sicurezza informatica è diventato una priorità. Sugli autoveicoli ci sono un elevato numero di sensori, attuatori e unità di controllo estremamente intelligenti, collegati spesso mediante protocolli open. Possono essere considerati dei veri e propri data center in itinere, esposti a elevate vulnerabilità e attaccabili in qualsiasi momento per motivi differenti” ha dichiarato Domenico Raguseo, Direttore Cybersecurity di Exprivia, azienda pugliese specializzata nell’Automotive Cybersecurity.

Purtroppo non si tratta di semplici teorie o possibilità, alcuni casi di attacchi informatici alle auto sono già stati individuati.

E questo nonostante esistano già delle normative e degli standard in merito, come la ISO 21434 – UNECE R155/156 (Road Vehicles – Cyber Security Engineering) che si occupa della sicurezza informatica dell’auto dalla progettazione fino alla rottamazione, in ogni fase della vita di una macchina.

I casi Jeep e Tesla

Già nel 2015, durante un esperimento controllato di Wired US, due hacker sono riusciti a prendere il controllo di una Jeep Cherokee in corsa a 110 km/h in autostrada. Questo fa capire da un lato quanto siano ampie le possibilità di attacco ed anche il pericolo conseguente.

La stessa cosa è successa con due team di programmatori, uno americano e uno israeliano, che si sono introdotti in soli due minuti in un sistema Tesla, aprendone cofano e porte in guida per dimostrare la pericolosità di un attacco hacker in corsa.

Fortunatamente si è trattato solo di un test, per altro premiato dall’azienda produttrice allo scopo di scoprire tutte le vulnerabilità e correggerle.

Ma gli hacker non sono sempre e solo figure esterne, incappucciate e malevole, a volte il cybercrime è interno alle stesse aziende e può partire come uno scherzo. È ciò che hanno rivelato 9 ex dipendenti di Tesla i quali affermano di aver raccolto e diffuso contenuti video e immagini, anche molto sensibili ed invasivi della privacy, dalle telecamere interne delle auto dei Clienti. Questo nonostante Tesla dichiari che la webcam live sia completamente crittografata e che quindi non possa accedervi e che le registrazioni siano completamente anonime.

L’Automotive Cybersecurity & Privacy è un tema ancora semi-sconosciuto ai più e molto delicato, considerando quanto tempo passiamo in auto e quanto dicono di noi i nostri spostamenti. Sicuramente si tratta di un argomento che merita diffusione. sviluppi e spunti di riflessione, e che ci ricorda quanto la Sicurezza Informatica sia un punto che riguarda ormai tutti gli ambiti e tutti noi – privati cittadini, pubblica amministrazione e aziende di ogni dimensione e settore.