Cybersecurity e Automotive
Luca Raschi
Published on 18/06/2018
Last update: 12/09/2019 at 12:43
Il 31 maggio scorso si è tenuta l’edizione milanese del Cybersecurity Summit 2018 (Organizzato da The Innovation Group), che, come nell’occasione precedente tenutasi a Roma, ha coinvolto diverse figure di spicco del settore e concentrandosi in questo caso su temi quali: la valutazione del rischio cyber, l’IoT, l’industry 4.0 e, ovviamente, alcune riflessioni sull’entrata in vigore del Regolamento Generale di Protezione dei Dati. L’impressione però è che, conclusasi con il 25 maggio la “febbre da GDPR” e la rincorsa alla conformità nei tempi previsti, si possa tornare a parlare anche degli altri aspetti della cyber security. Quelli, se vogliamo, più legati all’operatività, alle strategie di difesa e alla cultura sul tema.
Uno fra i temi che sono saltati all’orecchio, perché solitamente poco discussi, è sicuramente quello portato all’attenzione da Cosimo Senni, Cyber Security Program Manager di Magneti Marelli, azienda fornitrice di prodotti per l'industria automobilistica quali, ad esempio, navigatori e autoradio. Molti di questi dispositivi vengono costantemente collegati a USB, dispositivi IoT e connessioni Bluetooth, di diversi tipi e utenti e sono quindi ad alto rischio infezione.
Seppur se ne parli poco, a pensarci bene, l’automobile è uno degli strumenti meccanicamente e tecnologicamente più complessi della nostra quotidianità e uno di quelli più direttamente collegato alla nostra sicurezza personale. Al suo interno contiene svariate componenti elettroniche interconnesse, realizzate da produttori diversi e assemblate insieme. Per questo, nell’automotive la Sicurezza Informatica è un tema molto delicato, sia dal punto di vista tecnico che di responsabilità legale, perché in una filiera così complessa, diventa poi molto difficile capire di chi è la responsabilità, se dell’azienda che vende il prodotto finito o se del fornitore.
Spesso, i sistemi di programmazione delle componenti elettroniche (come ad esempio il dispositivo di controllo dei freni), sia per ragioni produttive che di contenimento dei prezzi, si portano dietro sistemi antecedenti al Windows 98 (ovvero estremamente obsoleti e vulnerabili). Molte delle componenti presenti all’interno delle autovetture che guidiamo tutti i giorni sono state progettate e costruite 20 anni fa, quando ancora si pensava che l’automobile fosse un sistema chiuso, mentre oggi giorno sono tutti elementi connessi a Internet. Di questi ecosistemi informatici, solamente il computer principale dispone in realtà di un sistema IT avanzato. Inoltre molti di questi dispositivi elettronici, non registrando i log, non permettono di capire se sono stati violati o meno. A proposito di GDPR, Senni ricorda che molte delle centraline presenti nelle auto raccolgono dati sensibili, come la posizione dell’auto tramite GPS. Se poi si considera che il computer di bordo potrebbe essere collegato a un account Spotify (spesso creato via Facebook) per ascoltare la musica, allora diventa molto facile risalire all’identità della persona in caso di hacking.
Perché si viene a creare questa difformità all’interno di un unico prodotto così complesso?
Le ragioni sono diverse per i diversi casi e sono rintracciabili nella continuità produttiva e nel contenimento dei costi (e di conseguenza dei prezzi finali): adeguare ogni singolo componente significherebbe un’aumento esponenziale del prezzo dell’auto. In questo momento, le aziende automotive come Magneti Marelli stanno investendo molto, ma è difficile adeguare ed allineare tutta la filiera in maniera compatta. Per farlo è necessario che tutti gli attori della supply chain siano competenti e motivati a questo cambiamento.
Il problema di fondo all’interno del settore è quindi sostanzialmente culturale e questo si riflette nella difficoltà di trovare personale con le competenze necessarie relative alla Cyber Security all’interno del mondo automotive. Spesso la volontà di innovare e investire soldi nasce dalla presa di coscienza relativa alla probabilità di rischio, ma perché questo avvenga, serve qualcuno che sia capace di fare analisi adeguate. Allo stato attuale invece, vista la scarsa disponibilità, le figure professionali nominate a livello burocratico per essere compliant ai regolamenti non sono realmente preparate alla complessità del tema.
In questo scenario, è verosimile aspettarsi altri casi simili a quello della BMW di cui si è parlato nelle scorse settimane.
Una domanda spontanea: quanto siete disposti a spendere per un’auto sicura?