Un gruppo di ricercatori ha individuato una vulnerabilità software che, se sfruttata dagli hacker, potrebbe consentire di prendere il controllo da remoto di un popolare monopattino elettrico, il Mi Scooter (m365) di Xiaomi. Eventuali aggressori potrebbero attivare un freno o accelerare un mezzo, mettendo così a rischio la salute del guidatore. Si tratta dell’ennesimo caso di “insicurezza cibernetica” applicata al mondo della mobilità smart, un tema di cui sentiremo sempre più parlare in futuro.
L’impressione è che l’industria automobilistica non riesca in questo momento a tenere il passo con la richiesta sempre più pressante di opportune misure di sicurezza, considerando elementi come connettività e funzioni avanzate di guida autonoma per molteplici modelli di veicoli già in circolazione sulle strade.
Quali sono le pratiche di cybersecurity praticate dalle case automobilistiche?
Quali i gap e le problematiche di questo mondo sono elementi analizzati in una recente ricerca di Ponemon Institute, commissionata da Synopsys e SAE International, basata su interviste a 593 professionisti del settore, coinvolti in vario modo su aspetti di sicurezza dei componenti automotive.
Come emerge dall’indagine, le case automobilistiche sono oggi molto arretrate e stanno ancora cercando di dotarsi delle competenze richieste per far fronte ai nuovi rischi informatici. L’analisi evidenzia che per molti aspetti questa sicurezza non è ancora garantita: secondo l’84% degli intervistati, le attuali pratiche di cybersecurity settore non stanno tenendo il passo con l’evoluzione continua a molto rapida dei rischi. Il numero di persone arruolate dai car maker per questi temi è molto limitato (un team tipico di cybersecurity conta circa 9 persone full-time) e addirittura per il 30% dei casi non esiste neanche un programma e un team di cybersecurity (una percentuale che sale al 41% se si considerano i fornitori Tier1 di componentistica). Inoltre, il 63% afferma che i test di vulnerabilità riguardano al momento meno della metà dell’hardware, del software o di altre tecnologie.
Fonte: Securing the Modern Vehicle: A Study of Automotive Industry Cybersecurity Practices, Synopsys- SAE International 2018
I fattori che contribuiscono ad aumentare i rischi e le vulnerabilità del codice presente nei veicoli sono: la pressione nel rispettare le deadline di produzione; errori accidentali di scrittura del codice; mancanza di competenze su come scrivere codice sicuro; test di vulnerabilità effettuati troppo tardi e non durante il ciclo di scrittura del codice. Servirebbe invece incrementare il focus nel settore automotive per gli aspetti di cybersecurity, fare formazione, utilizzare strumenti automatici per l’individuazione delle vulnerabilità nel codice, identificare eventuali vulnerabilità introdotte dalle terze parti. Gli intervistati sono consapevoli che molte delle nuove tecnologie avanzate comportano rischi informatici, in particolar modo
- I sistemi di comunicazione in radio frequenza (63%)
- I componenti per la telematica (60%)
- I sistemi per la guida autonoma (58%).
Fonte: Securing the Modern Vehicle: A Study of Automotive Industry Cybersecurity Practices, Synopsys- SAE International 2018
Molti car maker stanno già considerando di utilizzare varie misure di cybersecurity per le auto (tra i più frequenti, i firewall e gateway per effettuare controlli sulle comunicazioni) ma dove ci si aspetta di vedere una crescita rapida sono gli aggiornamenti frequenti del software effettuati Over-The-Air (OTA), al momento utilizzati da una minoranza di case automobilistiche (il 37%), con in previsione un ulteriore 50% che li adotterà entro i prossimi 5 anni.
Fonte: Securing the Modern Vehicle: A Study of Automotive Industry Cybersecurity Practices, Synopsys- SAE International 2018
Uno dei principali rischi nell’Automotive è legato alla Supply Chain
Va considerato che anche se nella maggior parte dei casi i car maker producono parte dei componenti che poi utilizzano nelle auto, i loro principali punti di forza sono in altre aree, nella ricerca e sviluppo, nel disegno e marketing dei veicoli. E’ quindi loro compito gestire una supply chain che alla fine risulta molto critica in quello che sarà il prodotto finito. Gli OEM alla fine possono dipendere da centinaia di vendor della filiera, che forniscono componenti hardware e software, oltre che ricambi nel mondo aftermarket. Come risulta dall’indagine Ponemon, il 73% degli intervistati sono molto preoccupati per la cybersecurity dei prodotti forniti da terze parti, ma nonostante ciò, solo il 44% afferma che la propria organizzazione ha imposto requisiti di cybersecurity alla propria filiera.
In conclusione, la consapevolezza sul problema è elevata, e standard e best practices cominciano a essere disponibili (ne abbiamo parlato in precedenza nel webinar “Sicurezza per l’Auto Connessa e la Smart Mobility” di novembre 2017, in cui si è parlato di come salvaguardare sicurezza, data privacy, safety delle persone, dentro e fuori l’Auto Connessa).
Si tratta da un lato di dare maggiore impulso a queste iniziative, dall’altro, di non vedere più la cybersecurity soltanto come un costo, ma piuttosto come un investimento necessario, anche alla luce dei nuovi sviluppi regolamentari impressi a livello europeo con il Cybersecurity Act di dicembre 2018 e l’arrivo di uno schema di certificazione della cybersecurity unitario per tutta la UE, per prodotti e servizi digitali connessi a Internet.
A cura di:
Elena Vaciago, The Innovation Group
