Il 2022 è l’anno delle regole che difendono i veicoli dagli attacchi hacker. La sicurezza informatica diventa un elemento chiave in fase di progettazione, costruzione e utilizzo dei mezzi.
Negli ultimi anni, purtroppo anche per le necessità imposte dalla situazione sanitaria, la digitalizzazione della società ha avuto una forte accelerazione. Ogni attività che implica solo uno scambio di informazioni si presume ormai possa essere eseguita da remoto, senza la necessità di trovarsi fisicamente vicini. Parole come smart working, web conference, didattica a distanza sono diventate di uso comune.
Le informazioni viaggiano sulla rete internet anche quando hanno grande valore, come ad esempio pagamenti, dati sanitari, dati personali sensibili. E sono quindi oggetto di grande interesse da parte di organizzazioni criminali. Per difenderci da questi hacker, criminali informatici, occorre adottare adeguati comportamenti e dotarsi di adeguati strumenti di protezione, come antivirus, sui computer ed i dispositivi mobili. Occorre cioè avere un livello adeguato di cybersecurity, adeguato al valore delle informazioni che si scambiano.
Anche le vetture stanno diventando sempre più connesse, scambiano in formazioni con altri dispositivi nelle vicinanze (Telepass, chiavi wireless, telefoni cellulari) e remoti (servizi in cloud, informazioni sul traffico…). I veicoli diventano anche sempre più intelligenti, cioè in grado di supportare il guidatore nelle manovra, ad esempio seguire il veicolo che precede, parcheggiare, mantenere la corsia di marcia. Nei prossimi anni saranno disponibili anche veicoli a guida autonoma, cioè in grado di liberare completamente il guidatore dal compito di guida, almeno in scenari definiti, ad esempio la guida autostradale.
Anche le vetture quindi, per effetto delle connessioni telematiche, potranno essere oggetto di crimini informatici. Questi attacchi possono potenzialmente portare al controllo del veicolo da remoto: il 21 Luglio del 2015 due ragazzi americani hanno dimostrato a dei giornalisti della rivista Wired di essere riusciti a prendere il completo controllo del loro veicolo: nel video si vedono i due ragazzi che, da remoto, controllano non solo la radio ed il climatizzatore, ma anche il motore e lo sterzo, portando il veicolo ad eseguire manovre potenzialmente pericolose, senza che il guidatore potesse fare nulla per impedirle.
Logico quindi l’interesse, sia da parte delle case automobilistiche come dalle Autorità pubbliche, ad adottare misure e regolamenti atti a rendere minimi o nulli i rischi di crimini informatici sui veicoli di nuova produzione. Il 2022 sarà l’anno che vedrà la cybersecurity entrare prepotentemente nell’industria automotive europea in conseguenza dell’entrata in vigore delle normative UNECE (United Nation Economic Council for Europe) R155, Cybersecurity, e R156, Software Update. Inizialmente tutti i nuovi modelli di veicolo dovranno rispettare queste normative, ma dal 2024 anche tutti i nuovi veicoli, anche se relativi a modelli progettati prima del 2022, dovranno rispettarle.
Dal punto di vista dell’utente finale non cambierà molto. Dovremo abituarci, come succede per il computer o lo smartphone, a rispondere a richieste di aggiornamento del software residente sul veicolo. A volte, quando l’aggiornamento coinvolge centraline che controllano il veicolo, queste operazioni dovranno essere eseguite a veicolo fermo ma acceso. Gli aggiornamenti saranno necessari non solo per problemi di cybersecurity, ma anche, e forse soprattutto, per risolvere eventuali problemi di sicurezza in funzioni di guida assistita od autonoma, cioè errori nei programmi software che, se non risolti, possono portare a rischi di incidenti. Infatti le Autorità Pubbliche che emanano i regolamenti relativi all’omologazione dei veicoli (UNECE) hanno autorizzato l’introduzione sui nuovi veicoli di funzioni di guida altamente assistita o autonoma, solo alla condizione che fosse possibile, nel caso emergessero degli errori nel software, poterli risolvere tempestivamente e senza richiedere un intervento in officina. Gli aggiornamenti non saranno solo richiesti per problemi di sicurezza, ma anche per migliorare i programmi, correggere errori od introdurre nuove funzioni.
L’impatto della cybersecurity in ambito automotive sarà importante per i produttori di veicoli e per tutti i fornitori. I nuovi regolamenti richiedono che la cybersecurity sia considerata in tutte le fasi di vita di un veicolo: durante la progettazione, durante la sua costruzione e durante il suo utilizzo.
Il costruttore del veicolo, come anche il fornitore di componenti, deve dimostrare che i processi utilizzati all’interno del suo sistema di gestione della sicurezza informatica assicurino che la sicurezza sia sempre adeguatamente considerata. Quindi devono essere previsti processi per:
- gestire la sicurezza informatica;
- l’identificazione dei possibili rischi;
- la valutazione, la categorizzazione e il trattamento dei rischi identificati;
- verificare che i rischi identificati siano gestiti in modo appropriato;
- testare la sicurezza informatica di un veicolo o componente;
- garantire che la valutazione dei rischi sia sempre aggiornata;
- monitorare, individuare e rispondere agli attacchi informatici e valutare se le misure sono ancora efficaci alla luce di nuove minacce;
- fornire dati pertinenti per l’analisi degli attacchi informatici accaduti.
Questi processi ovviamente dovranno essere applicati a tutti i nuovi prodotti, veicoli e componenti, come anche agli esistenti, se verranno prodotti ancora dal 2024 in poi. E’ evidente che l’impatto sul costruttore automobilistico, e su tutta la filiera dei fornitori, è decisamente importante.
Per adottare misure omogenee e non avere diverse interpretazioni dei regolamenti si sono definiti (e si stanno definendo) degli standard che possono essere usati come riferimento nel processo di certificazione del rispetto delle normative.
Sicuramente il più importante è lo standard ISO/SAE 21434, Road Vehicle Cyber Security Engineering, di recente pubblicazione. Questo standard fornisce sia le indicazioni per adeguare i processi aziendali ai requisiti della nuova normativa, come anche dettagliate indicazioni su come progettare, produrre e mantenere un veicolo (od un suo componente) adeguatamente nel rispetto dei requisiti ed indicazioni di legge, minimizzando i rischi sia per l’utente finale che per l’azienda stessa.
L’industria dell’auto sta attraversando un periodo di grande cambiamento trainata dai nuovi regolamenti sulle emissioni (elettrificazione) e dalle richieste del mercato (connettività e guida autonoma). Lo sviluppo tecnologico può offrire soluzioni ed anche nuove opportunità per il settore. Ma la cybersecurity dovrà diventare un elemento naturalmente presente, sia sul veicolo che su tutte le infrastrutture a supporto di servizi di mobilità, per evitare gravi rischi, non solo di perdita o diffusione illecita di dati, ma anche per l’incolumità di persone e beni. Solo con questa nuova consapevolezza e l’applicazione di quanto prescritto dagli enti di regolamentazione sarà possibile disporre di prodotti e servizi sicuri ed affidabili, per gli acquirenti e per la collettività.
