Se pensate che il tema degli attacchi hacker sulle auto sia fantascienza, provate a contare tutte le potenziali porte di ingresso per dei malware nella vostra vettura. Connessione bluetooth, modulo wi-fi, aggiornamenti over the air, porte Usb: le automobili odierne sono tutto tranne che compartimenti stagni, e questa loro interconnettività le rende potenzialmente vulnerabili a vari tipi di attacchi, dal furto di dati sensibili al tracciamento degli spostamenti via Gps, per arrivare alla disattivazione di alcune funzionalità o all’inserimento di codici di programmazione malevoli. Il tutto con possibili gravi conseguenze, in particolare nell’ottica di una futura diffusione delle auto a guida autonoma.
Molte Case hanno già fatto loro il tema e hanno iniziato a provvedere alla cybersecurity dei propri sistemi, ma ora due regolamenti dell’UNECE (Commissione economica per l'Europa delle Nazioni Unite) hanno stabilito degli standard minimi di sicurezza informatica per i costruttori, che nell’Unione entreranno in vigore a luglio del 2022 per tutte le auto di nuova omologazione, e nel 2024 per tutte quelle di nuova immatricolazione.
Standard comuni
Attraverso l’ente standardizzatore World Forum for Harmonization of Vehicle Regulations, l’UNECE ha messo a punto a inizio 2021 i regolamenti 155 e 156, i quali introducono criteri di sicurezza comuni per le Case, sul piano della progettazione hardware e software, su quello organizzativo e su quello gestionale.
A livello hardware le nuove automobili dovranno prevedere circuiti di rilevamento manomissione per ciascuna centralina che gestisce specifiche funzionalità dell’auto (come l'Ecu, che controlla il powertrain). Il principio a cui ci si è ispirati è quello della ridondanza (avere più di una “porta di sbarramento” agli attacchi), già utilizzato per evitare malfunzionamenti ai sistemi vitali della vettura, come l’impianto frenante.
Sicurezza sin dalla progettazione
Senza entrare in tecnicismi, per quanto riguarda il software, gli standard prevedono una serie di elementi indispensabili, come protocolli di crittografia, sistemi per il backup dei dati e chiavi di accesso sulla base del principio del “privilegio minimo”, come già avviene per alcuni sistemi infotainment, in grado di attivare un profilo personalizzato dopo l’inserimento di una password. Inoltre, sia il software che l’hardware dovranno prevedere questi criteri sin dalla fase di progettazione e sviluppo (cosiddetto principio del “security by design”).
Infine, i regolamenti obbligano le Case a implementare degli stress test per verificare la resilienza dei loro sistemi, e invitano a prevedere delle best-practice a livello di formazione, rivolta anche ai subappaltatori, e a livello di gestione delle problematiche dei clienti, con la predisposizione di unità apposite.
