Cyber Security by Design: l’Europa si difende dal Car Hacking

Robin Grant
25/05/2021

Cyber Security by Design: l’Europa si difende dal Car Hacking

“Cyber Security by design”: ovvero, la sicurezza digitale che parte dalla progettazione. Questa è la strada intrapresa dall’Unione Europea, che dal 6 luglio 2022 renderà obbligatorio il nuovo standard di sicurezza per quanto riguarda gli aspetti di prevenzione del car hacking.

Cyber Security by Design  per una connettività sicura

Sicuramente la connettività dei veicoli è uno dei maggiori trend in atto, con le case automobilistiche che arricchiscono l’offerta mediante un numero crescente di device e servizi “smart”, pensati per soddisfare la domanda degli automobilisti. Ecco, quindi, che oggi l’automobile è un vero e proprio computer: basti pensare che nel motore sono presenti, e lavorano, fino a 150 unità elettroniche.

Microtransazioni BMW

Il livello di tecnologia è tale che oggi non si parla (quasi) più di auto rubate, ma di “auto hackerate”. Per questo, l’attenzione ai fattori di vulnerabilità è sempre più grande, e nasce la necessità di implementare, appunto, l’aspetto della “Cyber Security by Design“.

È in questo scenario che nasce la “Regulation UN ECE 155”, la nuova proposta di standard europeo volta alla gestione della cyber security nel settore automotive, e che sarà obbligatoria nel territorio dell’Unione Europea a partire dal 6 luglio 2022 (nuove omologazioni) e dal 7 luglio 2024 (veicoli di nuova immatricolazione).

Il Car Hacking

Sono tre le aree della cosiddetta “superficie di attacco” di una vettura, che si dividono a seconda della distanza dell’hacker rispetto all’auto:

  • Accesso fisico con interfaccia OBD (On-Board Diagnostics), che si trova sull’auto per motivi di diagnostica e raccolta di dati, e che permette di interagire con tutte le unità elettroniche;
  • Short-Range Distance, che comprende il sistema passivo dell’antifurto, il sistema di lettura di pressione degli pneumatici, sistemi di apertura Keyless e Start Engine, nonché tutti i sistemi bluetooth. Tutti compresi nell’arco tra 10 cm (antifurto) e 10 metri (bluetooth).
  • Long-Range Distance, che è rappresentato da Radio Data System, sistemi Wi-Fi, 4G o 5G, e Internet App per la gestione dell’auto.

Skoda Kodiaq 2021

Gli hacker, quindi, possono usare queste interfacce per perpetrare attacchi al software che gestisce tutti i servizi dell’auto, in modo da prenderne il controllo. Infatti, tutti i controlli non meccanici dell’auto possono essere compromessi, con rischi che vanno dal furto di informazioni personali, alla registrazione della voce e all’identificazione dei tragitti del navigatore, fino alla compromissione della sicurezza fisica dei passeggeri e degli altri utenti stradali mediante modifiche alla velocità dell’auto, o alterazioni ad accelerazione e freno.

È evidente, quindi, che la garanzia della cyber security dipenda sempre più dalle funzionalità di sicurezza passiva e attiva e dalle prestazioni di efficienza ed emissioni da cui dipende l’impatto ambientale di un’automobile e, più in generale, di un veicolo. Ecco perché la sicurezza informatica deve entrare nell’auto a partire dalla sua progettazione (da qui Cyber Security By Design) e seguire l’utente in tutte le sue fasi.

La proposta di CSI Automotive

In questo scenario entra, quindi, anche CSI Automotive, nota per i test di sistemi e componenti dei veicoli, che integra le competenze di IMQ Minded Security, una società specializzata nella “Cyber Security by Design”: le due società propongono un approccio olistico alla sicurezza, mediante innovativi servizi di testing in campo automotive.

Nello specifico, l’offerta si compone di:

  • Architecture Threat Modeling, un supporto alla revisione dell’architettura con valutazione di modellazione delle minacce;
  • Secure Design, ovvero attività di revisione del design dei componenti software per identificare i difetti di progettazione, punti deboli che possono essere sfruttati come attacco alla logica di applicazione.
  • Secure Requirements, ovvero la realizzazione di linee guida di sviluppo sicuro per tutti i framework usati nel corso della realizzazione del software;
  • Secure Assessment, verifiche di sicurezza su Penetration Testing, Runtime Analysis and Fuzz Testing, Manual Secure Code Review e Mobile Security Asessment.
  • Supporto al fixing, mediante attività che garantiscano un’efficace implementazione delle contromisure a vulnerabilità identificate.
  • Formazione, per migliorare la cultura della sicurezza nelle aziende automobilistiche, e che è fondamentale per lo sviluppo di software sicuri.

In questo modo, CSI Automotive lavora nel suo centro tecnologico di testing e certificazione, sia come laboratorio EuroNCAP per i punteggi di sicurezza; sia come membro del consorzio GreeNCAP, per i punteggi di impatto ambientale.

—–

Per ricevere tante notizie e consigli utili specialmente sul mondo auto e moto, sugli autovelox e su come difendersi dalle truffe, è possibile iscriversi gratis al canale Quotidiano Motori su Telegram. Vi invitiamo a seguirci anche su Google News cliccate qui sotto per l’iscrizione gratuita!

google news