Nuove minacce informatiche rappresentano un rischio per un'industria automobilistica in transizione.
Le nostre auto sono da tempo diventate computer su ruote. Di conseguenza, la crescente digitalizzazione, la guida autonoma e l'aumento della connettività pongono nuove sfide per la sicurezza informatica.
Allarmanti lacune di sicurezza scoperte
La digitalizzazione interessa anche il settore automobilistico. Sviluppi come la guida autonoma e una crescente connettività tra i veicoli e con l'infrastruttura di trasporto stanno migliorando la sicurezza, ma creano anche nuove minacce.
Ad esempio, esperti americani di cybersicurezza hanno scoperto allarmanti lacune di sicurezza nei sistemi backend e IT aziendali di marchi automobilistici noti come BMW, Porsche e Mercedes. Queste falle hanno interessato non solo veicoli privati, ma anche veicoli di emergenza come auto della polizia e ambulanze. Gli esperti sono riusciti non solo a controllare le luci e i clacson, ma anche ad aprire e chiudere le portiere delle auto e ad avviare i motori. Inoltre, sono riusciti a copiare i dati dei veicoli, reimpostare le configurazioni e, in alcuni casi, persino accedere alle reti interne dei produttori.
I veicoli dotati di software creano nuovi rischi
La crescente connettività, la guida autonoma e le tecnologie software complesse stanno cambiando radicalmente gli scenari di minaccia. Dove un tempo era necessario essere fisicamente presenti al veicolo per eseguire attacchi, ora, con i moduli wireless installati, gli attacchi possono essere effettuati anche da Internet o tramite altre interfacce di comunicazione.
Connessione crescente
Sistemi di guida autonoma
Complessità dei software
Una ragione per la crescente minaccia è l'aumentata connettività delle nostre automobili. Rendere le auto parte di una rete globale offre caratteristiche convenienti come gli aggiornamenti software dei veicoli over-the-air, ma apre anche nuove vie di attacco.
La guida autonoma richiede uno scambio costante di informazioni con l'ambiente. I sistemi IT e software garantiscono la comunicazione con vari endpoint, funzioni di comfort e servizi di mobilità come la telematica. Questo trasforma le auto moderne in hub informativi e, allo stesso tempo, le rende obiettivi attraenti per gli attacchi informatici.
In futuro, il maggiore valore aggiunto non deriverà più dal lavoro di ingegneria necessario per sviluppare il motore e il traino, ma dalla fornitura e dall'aggiornamento del software per i veicoli su strada nel minor tempo possibile. Un'elevata complessità aumenta il rischio di falle di sicurezza.
Incremento dei requisiti di legge
Per affrontare direttamente la crescente minaccia, la Commissione Economica delle Nazioni Unite per l'Europa (UNECE) ha redatto nuovi requisiti normativi come R155 e R156 nell'ambito della Convenzione del 1958. Questi sono destinati a garantire la cybersecurity lungo l'intera catena di approvvigionamento e il ciclo di vita dei veicoli a motore.
Contemporaneamente, lo standard ISO/SAE 21434 (Veicoli Stradali – Ingegneria della Cyber Security) è stato pubblicato nell'agosto 2021, fornendo alle organizzazioni un'opzione di implementazione per le nuove normative. Per la prima volta, questo fornisce un sistema normativo unificato e vincolante per i produttori. E poiché tutta la catena di approvvigionamento deve essere auditata, anche i fornitori sono soggetti ai requisiti.
Il TISAX® (Trusted Information Security Assessment Exchange) offre un meccanismo di test e scambio per la sicurezza delle informazioni all'interno dell'industria automobilistica, sviluppato dall'Associazione Tedesca dell'Industria Automobilistica (VDA). È basato sui requisiti VDA ISA, che a loro volta si basano sulla ISO/IEC 27001. Nell'industria automobilistica, il TISAX® è spesso un prerequisito per le relazioni commerciali, in particolare quando sono coinvolte informazioni sensibili. L'obiettivo è evitare audit ridondanti e garantire uno standard di sicurezza a livello di settore.
Misure protettive necessarie
Le implicazioni per i requisiti di sicurezza, così come per l'architettura E/E di un veicolo, possono essere di vasta portata. Si tratta principalmente di implementare i requisiti lungo l'intera catena di approvvigionamento per rendere la nuova generazione di veicoli "più sicura" e aggiornare i vecchi processi per riflettere la nuova realtà. Le seguenti misure sono raccomandate per l'intero ciclo di vita:
Aggiornamenti di sicurezza: Proprio come per qualsiasi computer o smartphone, è importante applicare gli aggiornamenti di sicurezza rilevanti ai sistemi del veicolo per chiudere le falle di sicurezza conosciute e potenziali.
Segmentazione della rete: Separare le funzioni di sistema critiche da quelle meno critiche può aiutare a ridurre l'impatto di un attacco.
Meccanismi di sicurezza hardware: Questi possono includere firewall hardware o chip speciali che garantiscono che solo software firmati e fidati venga eseguito sul veicolo.
Test di penetrazione: Test regolari condotti da esperti di sicurezza possono aiutare a identificare e risolvere le vulnerabilità nei sistemi del veicolo.
Formazione e consapevolezza: I produttori di veicoli e i fornitori dovrebbero investire nella formazione sulla cybersecurity per i loro sviluppatori e ingegneri.
Collaborazione nel settore: I costruttori di automobili e i fornitori dovrebbero collaborare e condividere informazioni su minacce e best practices.
Attenzione ai dispositivi di terze parti: I proprietari di veicoli dovrebbero prestare attenzione quando collegano dispositivi o app di terze parti alle loro auto. Non tutti sono sicuri e potrebbero rappresentare potenziali punti di accesso per gli attaccanti.
Guidare in sicurezza verso il futuro automobilistico
La digitalizzazione e la guida autonoma stanno rivoluzionando l'industria automobilistica, ma presentano anche nuove minacce informatiche. Infatti, le vulnerabilità di sicurezza nei veicoli di marchi noti e la crescente complessità del software rendono le auto obiettivi attraenti per gli attacchi informatici. Ora più che mai, l'industria automobilistica deve sviluppare una nuova consapevolezza della cybersecurity e collaborare all'interno del settore per mantenere l'equilibrio tra innovazione e sicurezza.
Scopri di più sui nostri servizi di cybersecurity
-cybersecurity-services-1_core_4_3.jpg)
Vuoi migliorare la tua cybersecurity automobilistica? Siamo qui per aiutarti!
