CONNECTED CARS E RISCHI CYBER

di Cristiana Era

 

Automobili tecnologiche, con computer di bordo e sempre più equipaggiate con meccanismi che mirano a facilitare la guida, renderla piacevole e maggiormente sicura: non è il futuro ma è il presente per molti veicoli e, a breve, per tutti. Nessuna meraviglia, dopotutto siamo nell’era della quarta rivoluzione industriale o, come è spesso definita, dell’Industria 4.0, dove tutto ruota intorno al principio della connettività con una richiesta crescente da parte dei consumatori. Molti dei dispositivi che fino a qualche anno fa erano prerogativa solo di vetture di lusso sono oggi sempre più diffusi anche su quelle di media gamma: la spinta all’industria automobilistica è arrivata proprio dall’evoluzione tecnologica in tutti i settori che muove inesorabilmente verso l’Internet delle cose. Promozione e commercializzazione delle case automobilistiche puntano sempre di più sull’inclusione di dispositivi quali GPS, indicatori di corsia, infotainment, chiamate di emergenza automatiche in caso di incidente, sistemi di prevenzione delle collisioni, solo per menzionarne alcuni. L’infotainment, in particolare, è ormai un biglietto da visita per il mondo automotive: praticamente ogni casa automobilistica ha dotato le proprie vetture, indipendentemente dalla categoria, del sistema di connessione che permette al consumatore di accedere in sicurezza, durante la guida, a tutte quelle funzioni (radio, riproduzione DVD, navigazione satellitare, chiamate, messaggi e altre funzioni da smartphone collegato) che rendono appetibili le vetture anche alle generazioni più giovani, quelle “technologically addicted”. E dunque è solo questione di scelta: dal Sync3 della Ford, al Peugeot Connect, all’MBUX di Mercedes e U-Connect di Jeep Crysler.

 

È scontato dire che la tecnologia ha rivoluzionato e continuerà a rivoluzionare il settore automobilistico e dei trasporti in genere, visto che ha già completamente cambiato la nostra intera società. Grazie ad essa potremo disporre di una guida assistita che permette di utilizzare più funzioni senza che questo vada a discapito dell’attenzione del guidatore. E forse vale la pena ricordare che sono già in atto le sperimentazioni per la guida senza pilota, embrione di quello che in un futuro non troppo lontano comporterà l’inserimento dell’Intelligenza Artificiale (AI) nei trasporti come elemento in dotazione ai veicoli, esattamente come oggi lo è, ad esempio, il navigatore. Ci stiamo muovendo verso una guida sempre più sicura, dunque? Si, ma non senza una contropartita in termini di nuovi rischi.

 

Partendo dal dato di fatto che qualunque oggetto connesso può essere un target per gli hacker, automaticamente anche le moderne vetture connesse lo diventano. Non si tratta di ipotesi, ma di rischi concreti, come dimostrano episodi di intrusione nei sistemi di rete delle vetture già verificatisi. Tra i casi più citati vi è quello del test effettuato da due white hat hacker, Charlie Miller and Chris Valasek, nel 2013. Sotto analisi vi era il sistema U-Connect di Jeep Crysler: attraverso un notebook connesso ad una Jeep Cherokee i due riuscirono a penetrare nel sistema di controllo di freni e volante, rivelando le vulnerabilità del dispositivo. In quell’occasione il notebook era fisicamente situato all’interno della vettura, ma una ripetizione dell’esperimento nel 2015 svelò come quelle stesse vulnerabilità potessero essere sfruttate anche da remoto, penetrando attraverso internet nel sistema di aria condizionata, di controllo del volume della radio e, cosa più grave, riuscirono a bloccare freni ed acceleratore, facendo perdere il controllo della vettura al guidatore. Anche le auto elettriche non sono esenti da possibili rischi. Nel 2016 una vulnerabilità nell’app NissanConnect EV che permette di controllare il sistema di riscaldamento e la ricarica della Leaf tramite cellulare costrinse la Nissan a sospenderne le funzionalità fino alla risoluzione del problema.

 

La questione è complessa e va vista da varie angolazioni, come dimostrano gli studi che recentemente sono stati pubblicati sull’argomento. Quello dei ricercatori del Dipartimento di Fisica del Georgia Institute of Technology (https://arxiv.org/abs/1903.00059) presentato all’inizio del 2019 ha puntato l’indice contro il sistema centralizzato delle connected car, evidenziando come un hacker che riesce a craccare anche una sola delle componenti può automaticamente accedere a tutte le altre. Interessanti anche le percentuali: è stato calcolato che un ipotetico attacco al 20% delle auto connesse in circolazione a New York sarebbe in grado di paralizzare la città, con serie conseguenze per l’operatività e l’accesso ai servizi di emergenza (ospedali, stazioni dei pompieri, servizi di ordine pubblico, ecc.).

 

I target di accesso ad un veicolo connesso sono diversi: si passa dalle app che controllano varie funzioni, ai sistemi operativi, firmware, connessioni telefoniche (blutooth) e infrastrutture di back-end. Un hacker che riesce a penetrare in una componente ha poi la possibilità, come abbiamo visto nel caso di U-Connect nel 2015, di controllare un veicolo da remoto e mettere in pericolo l’incolumità fisica degli occupanti. Ciò che rende difficile – e costoso – garantire alti livelli di sicurezza è la complessa catena logistica dell’industria automobilistica, per cui componenti diverse sono fornite da aziende diverse con protocolli di sicurezza diversi o, in alcuni casi, inesistenti. È quanto emerge da un altro studio, quello del Ponemon Institute, effettuato su prassi e procedure del settore automobilistico (Securing the Modern Vehicle: A Study of Automotive Industry Cybersecurity Practices, scaricabile dal sito https://www.synopsys.com/software-integrity/resources/analyst-reports/automotive-cyber-security.html). In base ad un’indagine effettuata su centinaia di professionisti della sicurezza e ingegneri del settore automotive, il rapporto sottolinea come il livello di sicurezza dei software della supply chain sia ancora troppo basso, anche se vi è consapevolezza del problema. Ma è l’insieme dei risultati che risulta allarmante: solo il 10% delle aziende ha un security team; meno della metà impone a fornitori e terzi i requisiti di sicurezza; alcune aziende non hanno risorse umane e finanziarie sufficienti per garantire la sicurezza dei propri prodotti prima della commercializzazione; meno della metà fornisce tempestivi aggiornamenti sui software, mentre un quarto di esse non ne fornisce alcuno.

 

Se tuttavia l’industria è consapevole dei rischi cibernetici, molti dei quali – è bene sottolinearlo – non sono ancora stati identificati, questo il primo passo verso una maggiore sicurezza delle nostre automobili e, come sottolinea Chris Clark della Synopsys, verso un cambiamento di percezione e di sviluppo. Cambiamento della percezione che il security testing comporti solo una spesa significativa senza un ritorno, invece che un investimento che garantisce la sicurezza degli automobilisti ma anche che previene perdite consistenti sia di immagine che finanziarie in caso di attacchi cyber. E cambiamento nello sviluppo del ciclo di produzione che prenda in considerazione il security testing all’inizio del ciclo e non come un elemento post-produzione.

 

Quanto tempo occorrerà all’industria per adeguare gli standard di sicurezza? È difficile dare una risposta, ma se, come la legge di Moore insegna, la tecnologia viaggia a ritmi esponenziali mentre le politiche di adeguamento sono in genere lente e lineari, forse una maggiore sicurezza cibernetica delle nostre vetture richiederà ancora del tempo.