Home » Sfide della cybersicurezza automobilistica a medio termine

Sfide a medio termine per la sicurezza informatica nel settore automobilistico

09 maggio 2023 - César Daniel Barreto

L'alba dei veicoli elettrici ha innescato un cambiamento monumentale nel mondo automobilistico. Non più semplici macchine del passato, le auto ora somigliano a intricati sistemi informatici su ruote, avvicinandosi sempre di più a diventare entità robotiche altamente autonome. Questo articolo esplora il complesso mondo dei veicoli moderni, analizzando i loro sensori ad alta tecnologia, la vasta potenza di calcolo e le innumerevoli righe di codice che ne supportano la connettività e l'indipendenza.

Con questi progressi nasce l'esigenza pressante di sistemi affidabili e fortificati per difendersi dai rischi della sicurezza funzionale e dagli assalti informatici.

Mentre ci avviciniamo al 2023 e oltre, i principali produttori di automobili sono molto preoccupati per l'imperativo di integrare le considerazioni sulla cybersicurezza in ogni aspetto delle loro operazioni, dalla progettazione dei veicoli e delle stazioni di ricarica all'infrastruttura di trasporto e alle catene di approvvigionamento. Questa strategia è fondamentale per rimanere a galla nel nostro mondo sempre più digitalizzato.

Grazie ai progressi informatici, il settore automobilistico è stato trasformato. I veicoli ora vantano connessioni senza interruzioni con produttori, proprietari e conducenti, un risultato reso possibile dall'unione tra tecnologia dell'informazione e veicoli intelligenti innovativi, collaborativi e versatili. Gli esempi abbondano, come le chiamate di emergenza attivate durante gli incidenti o la localizzazione dei veicoli tramite GPS. Tuttavia, con l'aumento della connettività dei veicoli, cresce anche la loro vulnerabilità agli attacchi informatici.

In un mondo in cui i prototipi di veicoli a guida assistita si stanno evolvendo rapidamente, alcuni hanno già fatto il loro debutto nei mercati europei e giapponesi. Giganti del settore come Tesla e Google stanno investendo risorse in questo campo emergente, comprendendo appieno l'importanza della sicurezza informatica. Riconoscono che le prospettive allettanti offerte dalla tecnologia all'avanguardia comportano anche pericoli, come attacchi informatici mirati. Di conseguenza, affrontare i rischi di sicurezza informatica nell'ambito dei veicoli intelligenti è di fondamentale importanza.

Punti deboli di un veicolo computerizzato

I criminali informatici del settore automobilistico cercano di intaccare i sistemi elettronici del veicolo per prenderne il controllo, con il rischio di compromettere la sicurezza degli occupanti o, peggio, di generare incidenti che, in caso di collisione, potrebbero coinvolgere gli altri veicoli in circolazione o la stessa infrastruttura di trasporto. Sono stati registrati attacchi informatici a veicoli intelligenti da parte di prestigiosi produttori.

Senza cambiare nulla del contenuto: Gli attacchi informatici all'unità di controllo telematica e al modulo di gateway centrale sono i più comuni. La modalità di attacco avviene tramite accesso fisico attraverso varie interfacce del veicolo con l'esterno; sistemi diagnostici di bordo, memoria USB o rete cellulare, che potrebbero fornire accesso all'intera rete del veicolo, consentendo di manipolare funzioni critiche come lo sterzo o la frenata.

In tal senso, i produttori stanno lavorando duramente su sistemi di cybersecurity robusti e affidabili. Nel 2023, gli specialisti di cybersecurity raccomandano l'uso dello standard “Road Vehicles Cybersecurity Engineering” (ISO/SAE CD 21434), basato sul noto standard SAE J3061 “Cybersecurity Guidebook for CyberPhysical Vehicle Systems” che cerca di ridurre al minimo il rischio causato da possibili attacchi informatici ai veicoli.

Motivi per cui un veicolo intelligente subisce un attacco cibernetico

L'attacco informatico a un veicolo in movimento su un'autostrada ad alto traffico per provocare un incidente è un esempio di terrorismo informatico. La flotta automobilistica e i trasporti sono considerati un obiettivo del terrorismo perché un attacco a questo settore influisce negativamente su un gran numero di utenti. Un'altra ragione per attaccare i veicoli in modo informatico è quella di estorcere denaro ai conducenti sotto la minaccia di un furto del veicolo che favorisca la vendita di parti di ricambio sul mercato nero o, peggio ancora, ottenere l'accesso ai dati in tempo reale su un veicolo come la sua posizione, la navigazione, le informazioni sull'ambiente circostante e persino le informazioni sul conducente e sui passeggeri per il suo rapimento o omicidio, nel caso in cui il pagamento del riscatto non sia soddisfatto.

Le leggi sulla protezione dei dati e sulla privacy giocano un ruolo fondamentale nella protezione dei proprietari di veicoli, poiché gli stabilimenti di vendita di veicoli, al momento della vendita, possono trattare una grande quantità di dati personali, comprese le informazioni sulla carta di credito della persona che acquista il veicolo.

Non c'è bisogno di dirlo, se i dati dei consumatori vengono esposti e cadono nelle mani dei criminali informatici, possono causare danni gravi, vendendo i dati, commettendo altri tipi di atti criminali fisici, o eseguendo ransomware su una delle funzionalità del veicolo che ne impediscono l'uso fino al pagamento di un riscatto per il recupero della funzionalità.

Le sfide della sicurezza informatica nel settore automobilistico

La cybersecurity propone che diversi anelli nella catena commerciale automobilistica come fornitori: produttori, fornitori, concessionari, officine post-vendita, produttori e gestori di punti di ricarica, proprietari di infrastrutture di trasporto, vettori e autisti, tra gli altri, partecipino a un piano che rispetti i requisiti di sicurezza informatica.

Gli europei sono il maggior riferimento in termini di disegni di legge, attuazione di leggi e regolamenti nel campo della cybersecurity. Le loro esperienze sono un riferimento obbligato e da esse derivano una serie di raccomandazioni sotto forma di buone pratiche per la cybersecurity dei veicoli intelligenti. Queste passano attraverso la protezione olistica di tutti i sistemi coinvolti, compreso il processo post-vendita del veicolo. In termini generali, vengono citate le sfide della cybersecurity per proteggere il parco auto nel 2023:

  • Definizione di una metodologia basata sul rischio per identificare e dare priorità ai principali rischi del veicolo.
  • Garantire la privacy e la sicurezza sulla base della progettazione di veicoli connessi e automatizzati.
  • I produttori sono responsabili dell'installazione di aggiornamenti sui veicoli autonomi per ridurre le vulnerabilità prima della vendita dei veicoli.
  • Le officine post-vendita hanno il compito di offrire un servizio di cybersecurity ai veicoli una volta venduti, al fine di affrontare i problemi di sicurezza quando si verificano, essendo in grado di eseguire aggiornamenti software che risolvono le vulnerabilità in caso di cyberattacchi hanno meccanismi che consentono di riconfigurare e disabilitare le applicazioni per garantire che le funzioni del veicolo continuino a essere attive e non rappresentino un rischio per gli occupanti del veicolo e l'ambiente.

Tutto questo richiede una specializzazione in cybersecurity nell'industria automobilistica, che, come altri settori, soffre di una mancanza di ingegneri qualificati in cybersecurity; per soddisfare questa esigenza, è essenziale che le aziende indirizzino gli sforzi verso il rafforzamento dei processi di cybersecurity esclusivamente per il parco automobilistico.

Educazione dei cittadini sulla cybersicurezza dei loro veicoli intelligenti

I professionisti della sicurezza ritengono che, nonostante i programmi di formazione continua, la maggior parte delle persone debba ancora capire quanto sia cruciale essere informati sullo stato di cybersicurezza della propria auto. Con il passare del tempo, sempre più persone inizieranno a prestare attenzione alla sicurezza informatica delle loro automobili e a riconoscere i rischi posti da un sistema di sicurezza informatica non aggiornato.

I produttori di veicoli negli Stati Uniti dal 2019 stanno portando avanti un'importante campagna sull'importanza di mantenere i sistemi di cybersecurity, sulla spinta di una serie di normative governative attuate per proteggere i cittadini sulla base di quanto segue:

  • Protezione contro gli attacchi informatici: Entrambi i punti di ingresso ai sistemi elettronici di ogni veicolo offerto in vendita negli Stati Uniti dovrebbero essere dotati di misure di protezione contro gli attacchi informatici, comprese misure di isolamento per separare i sistemi software critici da quelli non critici e la necessità di valutarli rispetto alle vulnerabilità della sicurezza informatica, inclusa l'applicazione di test di penetrazione.
  • Sicurezza delle informazioni raccolte: I dati raccolti dai sistemi elettronici del veicolo devono essere protetti per prevenire accessi non autorizzati. Al contrario, i dati sono memorizzati nel veicolo mentre vengono trasferiti dall'auto a un altro luogo e in qualsiasi archiviazione o utilizzo dei dati al di fuori del veicolo. Questo vale in particolare per le aziende che noleggiano veicoli.
  • Rilevamento, Segnalazione e Risposta agli Attacchi Cibernetici: Qualsiasi veicolo prodotto per la vendita negli Stati Uniti che presenti punti di accesso deve essere equipaggiato con funzionalità per rilevare immediatamente, segnalare e rispondere a qualsiasi tentativo di intercettare i dati di guida e controllo del veicolo. Se è destinato a essere noleggiato, è necessario presentare un piano ancora più rigoroso per aggiornare il sistema di cybersicurezza.
  • Pannello di cybersicurezza: tutti i veicoli devono avere un pannello di cybersicurezza che informa chi lo guida attraverso un grafico standard e facilmente comprensibile sul livello di protezione e privacy.

Le iniziative sopra indicate sono prese in considerazione da altri Paesi. Gli specialisti di cybersecurity raccomandano la creazione di un organismo che coordini la cybersecurity del settore automobilistico e che aiuti le autorità di trasporto a identificare, rilevare, proteggere, rispondere e riprendersi dalle minacce e dagli attacchi informatici.

In conclusione

Parlare di cybersecurity nel settore automobilistico implica considerare la cybersecurity e la privacy del veicolo fin dalla sua progettazione, nonché di tutti gli elementi con cui interagirà successivamente, come i sistemi di ricarica, le strade su cui circola o i sistemi di gestione del traffico, il tutto tenendo conto della catena di fornitura del veicolo e delle responsabilità sottostanti nel caso in cui qualcosa vada storto.

Per integrare la cybersicurezza e la privacy fin dal design, è necessario promuovere una cultura della cybersicurezza tra i produttori di veicoli e ricambi, affinché possano definire e gestire le politiche di cybersicurezza, formare il personale, adottare cicli di vita per lo sviluppo dei veicoli e pensare alle risposte a possibili minacce informatiche e attacchi informatici. L'educazione degli utenti implica conoscere lo stato della cybersicurezza dei loro veicoli e le loro responsabilità in caso di guasti nella cybersicurezza.

avatar dell'autore

César Daniel Barreto

César Daniel Barreto è uno stimato scrittore ed esperto di cybersecurity, noto per la sua approfondita conoscenza e per la capacità di semplificare argomenti complessi di sicurezza informatica. Con una vasta esperienza nel campo della sicurezza delle reti e della protezione dei dati, contribuisce regolarmente con articoli e analisi approfondite sulle ultime tendenze in materia di tendenze della cybersecurity, educando sia i professionisti che il pubblico.

it_ITItalian