Cybersecurity: l’auto totalmente connessa sarà sicura?

Cybersecurity

Le case automobilistiche sono tutte d’accordo che il mondo dell’auto sta entrando in un’era rivoluzionaria, nel futuro i veicoli saranno elettrici, connessi tra loro e con l’infrastruttura e in grado di muoversi autonomamente. Questo cambierà in modo significativo il modo con cui il veicolo sarà progettato, costruito ed utilizzato. E cambieranno anche i sistemi di sicurezza.

Anche Sergio Marchionne, sempre molto prudente e pronto a mettere in evidenza i limiti delle nuove tecnologie, ha recentemente affermato che il veicolo elettrico ed autonomo “provocherà un cambio di paradigma totale, che è destinato a cambiare il volto dei trasporti come lo abbiamo sempre inteso” (Trento, conferimento laurea ad honoris causa, 2 ottobre 2017).

CYBERSECURITY

A questo futuro scenario, che promette notevoli vantaggi sia ai passeggeri dei veicoli, maggiore comfort e sicurezza, che alla società, meno incidenti, minori emissioni e traffico più fluido, stanno lavorando tutti gli attori coinvolti, non solo costruttori di veicoli e componentisti, ma anche le autorità pubbliche, con l’obiettivo di renderlo fattibile nel più breve tempo possibile.

Ma questo scenario presenta anche dei rischi: uno dei più temibili è che l’intelligenza che governa il veicolo autonomo e connesso possa essere compromessa attraverso una “intrusione” da parte di criminali informatici (hacker). Il software che governa il veicolo autonomo non deve essere solo “sicuro”, cioè in grado di evitare danni a cose e persone durante la guida automatica, ma anche “cyber” sicuro, non possa essere indotto a comportamenti pericolosi attraverso intrusioni nel sistema veicolo.

Cyber-sicurezza
I rischi dovuti ad un uso improprio o criminale dei sistemi informatici sono ben noti, chiunque utilizza un computer sa dei rischi dovuti ai virus informatici, della necessità di proteggersi con specifici programmi (anti-virus) e dei comportamenti da adottare per evitare di essere “infettati”, come ad esempio evitare di aprire email di provenienza sconosciuta o dubbia.

I rischi che si corrono sono molto elevati, ad esempio i virus cosiddetti “ramsomware” si installano sul computer, codificano tutti dati presenti rendendoli inaccessibili, e poi chiedono un “riscatto” per poter conoscere la chiave per decodificarli: in pratica “sequestrano” il computer. Pagare il riscatto spesso non risolve il problema. L’unica soluzione è ripartire da una copia dei dati effettuata prima del “contagio”. CYBERSECURITYDiverse aziende sono state costrette a chiudere temporaneamente per effetto del contagio di tutti i propri computer.

Nel 2016 l’intero mercato delle tecnologie per la cybersecurity ha raggiunto il valore approssimativo di 76,4 miliardi di dollari, a livello mondiale,  e secondo il Rapport “Cyber Security Market: Global Industry Analysis and Forecast 2017-2025”, di Persistence Market Research (PMR) nel 2025 tale mercato crescerà a 205,8 miliardi di dollari. Le banche e le imprese saranno i principali attori.

Nonostante questi importanti investimenti il trend del numero di casi, sistemi informatici violati, è comunque in crescita, nel 2017 si è assistito, secondo il rapporto Clusit 2018, ad un salto “quantico” nella quantità e qualità degli attacchi informatici. In Italia nel 2017, a fronte di una spesa per la cybersicurezza di un  miliardo di Euro, ci sono stati danni economici stimati in 10 miliardi di Euro. I crimini finalizzati ad estorcere denaro sono in aumento, ma sono aumentati molto di più gli attacchi finalizzati a rubare informazioni e segreti industriali. Dietro a questi numeri ci sono ovviamente non solo singoli hacker ma anche vere e proprie organizzazioni, spesso finanziate dai governi.

 E l’auto?
Gli autoveicoli sono oggi dotati di numerosi computer, che controllano praticamente tutto: il motore, i freni, lo sterzo e tutti gli accessori. I programmi software che governano il veicolo sono sviluppati dai produttori o dai componentisti e certificati sul rispetto delle normative esistenti. La modifica del software può avvenire solo attraverso interfacce appositamente predisposte ed utilizzando strumenti certificati dai costruttori dei veicoli stessi.

Sembra quindi impossibile per un “cybercriminale” poter penetrare nel veicolo, e questo era vero fino a quando il veicolo non era “connesso”. Ma oggi tutti i veicoli lo sono:

  • Direttamente o attraverso il telefono del conducente si connettono ad Internet;
  • Ricevono o scambiano dati con dispositivi, come memorie USB, schede SD, smartphone

Nel futuro prossimo i veicoli comunicheranno anche tra di loro e con l’infrastruttura.

CYBERSECURITYQuesti canali di comunicazione potranno essere utilizzati dai cybercriminali per installare dei programmi sul veicolo (“malware”) con i quali accedere a dati riservati o produrre danni.

Questo rischio non è ipotetico, diversi veicoli sono già stati “hackerati”: senza accedere fisicamente al veicolo gli hacker ne hanno preso il completo controllo. Il 21 Luglio del 2015 due ragazzi hanno dimostrato ai giornalisti della rivista Wired di essere riusciti a prendere il completo controllo del loro veicolo: nel video (https://www.youtube.com/watch?v=MK0SrxBC1xs) si vedono i due ragazzi che, da remoto, controllano non solo la radio ed il climatizzatore, ma anche il motore e lo sterzo, portando il veicolo ad eseguire manovre potenzialmente pericolose, senza che il guidatore possa fare nulla per impedirle.

La cybersecurity è quindi un problema già oggi reale, non collegato necessariamente allo sviluppo dei veicoli autonomi.

CYBERSECURITY

Quali rischi si corrono
Il problema della cybersecurity è molto più complesso rispetto alla sicurezza del veicolo, sulla quale sono state introdotte molte innovazioni recentemente, come ad esempio la frenata automatica di emergenza. Non è l’errore umano, la causa principale degli incidenti stradali, che occorre evitare o, almeno, ridurne le conseguenze. Qui occorre fronteggiare una “intelligenza” che lavora per scoprire eventuali “falle” del sistema (vulnerabilità) e le sfrutta per accedere a dati riservati o produrre danni. E anche la minima “falla” può essere utile per una mente criminale.

Un piccolo esempio: molti veicoli sono dotati del sistema TPMS (Tyre Pressure Monitoring System, sistema di monitoraggio della pressione delle gomme, obbligatorio su tutti i nuovi veicoli) di tipo diretto: un sensore nella ruota misura la pressione ed invia via radio l’informazione ad una centralina sul veicolo. In caso di pressione bassa il guidatore viene tempestivamente avvisato.

Se la comunicazione tra il sensore e la centralina non è opportunamente “protetta”, un criminale potrebbe riuscire a fornire una informazione errata alla centralina, portandola a ritenere che una gomma si stia sgonfiando e ad avvisare il guidatore. Il quale si ferma a controllare giusto dove il criminale lo sta aspettando ….

I pericoli non sono esclusivamente per il conducente o gli occupanti del veicolo: un criminale in grado di produrre un guasto su tutti i veicoli di un certo modello potrebbe ricattare la relativa casa automobilistica. Oppure acquisire tutti i dati sul movimento della flotta di una ditta di logistica per venderli alle ditte concorrenti.

La tabella che segue elenca alcuni dei rischi che si possono correre. Non è e non può essere esaustiva.

CYBERSECURITY

Cosa si sta facendo
Le case automobilistiche sono ora molto attive nel riconsiderare le architetture dei sistemi elettronici del veicolo adottando misure per garantire una adeguata cyber-sicurezza. Molte case promuovono anche il cosiddetto hackeraggio “etico”, ricompensando quanti individuano falle nei sistemi e li segnalano alle case stesse. Si arriva addirittura ad organizzare eventi specifici, dove gli hacker vengono radunati ed invitati a lavorare su uno specifico veicolo, con premi importanti per chi riesce a violarne i sistemi.

Negli Stati Uniti l’industria automobilistica ha creato nel 2015 una organizzazione specifica, Auto-ISAC (Centro per lo scambio e l’analisi di informazioni in campo automotive): una community guidata dall’industria per condividere e analizzare le informazioni sui rischi emergenti della sicurezza informatica sul veicolo, e per migliorare collettivamente la cybersicurezza dei veicoli in tutto il settore automobilistico, inclusi i veicoli commerciali.CYBERSECURITY

ACEA, l’associazione dei costruttori automobilistici Europei, ha recentemente, settembre 2017, pubblicato i principi per la cybersicurezza dei veicoli (ACEA Principles of Automobile Cybersecurity). ACEA ha identificato sei punti chiave per la sicurezza dei veicoli rispetto a minacce informatiche:

  • Sviluppare una cultura della cybersicurezza
  • Considerare la cybersicurezza in tutte le fasi di sviluppo del veicolo
  • Valutare le funzioni di sicurezza attraverso fasi di testing, sia interne alla azienda che con il supporto di organismi esterni.
  • Mantenere costantemente aggiornate le procedure di cybersicurezza.
  • Prevedere procedure per rispondere agli incidenti e risolverli tempestivamente
  • Scambiare informazioni sugli incidenti, tentativi riusciti di penetrazione, tra tutti gli attori industriali coinvolti.

(Testo  cura dell’ing. Gianfranco Burzio)