La nuova frontiera della sicurezza stradale è cyber

Per moltissimi anni il mondo delle quattro ruote ha – giustamente – concentrato un’ingente quantità di tempo, fondi ed energie nello sviluppo di vetture sempre più sicure sia per i passeggeri sia per i pedoni. Dalle prime cinture di sicurezza agli airbag fino ai sistemi di frenata automatici: tutte innovazioni che ben presto sono diventati standard assoluti del settore (alcuni giustamente anche obbligatori). Oggi la sicurezza nel mondo dell’auto deve essere però considerata ed intesa anche come cyber security.

LEGGI ANCHE > Il grande fratello dell’IoT

Una rivoluzione: cyber security in auto

Le nostre macchine, ora più che mai, sono “alimentate” da software e programmi. Sono un enorme collezione di dispositivi IoT. La svolta tecnologica della auto è stata naturale, ma questo significa anche che essendo ora queste connesse sempre di più alla rete saranno anche possibile bersaglio di cyber attacchi. In meno di 10 anni il settore ha visto una svolta paragonabile solo a quella impressa da Henry Ford più di un secolo fa con le sue linee di montaggio e la sua Model T. Le auto elettriche a breve la faranno da padrone, certo, ma è cambiato anche il modo di concepire l’auto grazie a servizi come il car sharing. Anche la semplice manutenzione, in alcuni casi, adesso può essere effettuata tramite aggiornamenti che l’auto è in grado di scaricare tramite la rete wifi/4g.

Come se non bastasse, il futuro più prossimo sembra riservare altre rivoluzioni epocali, in particolare per quanto riguarda la guida autonoma. Le case automobilistiche non si limiteranno più a fornire il prodotto finale: diventeranno fornitori integrali di mobilità. Questo apre modelli di business e ruoli completamente nuovi sia per i player di mercato attuali che per quelli futuri, con un ritmo e una portata del cambiamento senza precedenti nell’industria automobilistica.

«Tutto questo – dice Pierguido Iezzi, CEO di Swascan – aggiunge urgenza alla necessità di rinforzare preventivamente la sicurezza informatica dei veicoli. Ben presto questo tipo di sicurezza potrebbe rivestire la stessa importanza di quella tradizionalmente associata alle auto. I rischi informatici sono amplificati nell’industria automobilistica dalla natura stessa dell’oggetto in questione. L’hacking dei veicoli, già più comune di quanto molti possano pensare, potrebbe presto diventare più diffuso, con il potenziale per incidenti pericolosi su larga scala. Per non parlare del potenziale impatto economico che un’occorrenza del genere potrebbe avere sulla stessa casa produttrice».

Uno dei più noti hackeraggi di veicoli è avvenuto nel 2015, quando gli Ethical hacker Charlie Miller e Chris Valasek hanno condotto un esperimento “semi-controllato” e sono riusciti a prendere in mano da remoto i comandi di una Jeep Cherokee, attivando i tergicristalli, accendendo la radio e spegnendo il motore nel mezzo di un’autostrada (cosa che li ha poi costretti a sbandare in un fosso). Costruire la fiducia, che è essenziale per qualsiasi azienda, è fondamentale nei trasporti. I problemi che recentemente Boeing ha avuto con il suo aereo di linea 737 Max, costretto a non volare dalle autorità responsabili per 20 mesi nel 2019 e 2020 dopo due incidenti attribuiti a guasti del software, illustrano chiaramente il punto. La dipendenza dell’industria automobilistica dal software e dalla connettività diventerà solo più pronunciata negli anni a venire. Costruire un’efficace cybersecurity in tutti gli aspetti dei nuovi veicoli e sistemi è essenziale per garantire il futuro successo dell’industria automobilistica.

I nuovi regolamenti

Al momento esistono già standard di settore in questo campo – come la ISO/SAE 21434 – e la stessa Commissione economica per l’Europa – con la sua approvazione nel giugno 2020 – ha già imposto grazie al regolamento 155 una serie di parametri a cui le case automobilistiche nei paesi del così detto gruppo WP .29 (tra cui l’Italia) dovranno aderire.

Questi regolamenti richiedono ai produttori di fornire sia la prova dell’installazione di un sistema di gestione della sicurezza informatica certificato (Cyber Security Management System) e di avere un sistema di gestione degli aggiornamenti software (Software Update Management System). Entrambi sono prerequisiti per ricevere la certificazione di idoneità su strada per tutti i nuovi modelli a partire dal 2022. Senza la certificazione, i produttori non potranno vendere questi veicoli.

La sfida

Si tratta di un momento spartiacque per l’industria. Se abbracciato dai produttori, il nuovo regolamento UNECE R155 ha il potere di rimodellare l’intera industria automobilistica. I veicoli connessi sono qui per rimanere e, mentre la tecnologia fornisce una serie di opportunità, come con qualsiasi innovazione, i potenziali attaccanti continueranno a cercare le vulnerabilità. La necessità è quella di progettare gli ecosistemi automobilistici (quindi non solo i veicoli) per essere resilienti contro i sofisticati attacchi informatici. Devono essere in grado di agire e reagire attraverso le loro diverse funzioni aziendali, garantendo che le difese informatiche siano incorporate lungo tutta la loro catena di produzione, post-vendita e fino alla fine del ciclo di vita dei loro prodotti.

Avere un modello di governance della sicurezza informatica completamente integrato lungo tutta la filiera non è una necessità una tantum, ma continua. Un buon modello di governance deve essere in grado di integrare la sicurezza informatica nel ciclo di vita di un veicolo, dalla progettazione e sviluppo al monitoraggio. Questo dovrà necessariamente fornire anche la capacità di rilevare qualsiasi potenziale attacco informatico su un veicolo, rendono possibile anche un eventuale incident response.

I produttori che non adottano tali modelli rischiano di dover adattare le difese – con grandi spese – in seguito a un possibile attacco informatico futuro. Questo include il potenziale per costosi richiami o riparazioni in garanzia per i veicoli danneggiati in tali attacchi. È il vecchio adagio del prevenire e meglio che curare – sempre valido, specialmente quando si parla di cyber security. La sfida che hanno di fronte i produttori non è sicuramente impegnativa, ma lo sviluppo dell’auto non può prescindere dalla cyber security oramai.