Cybersecurity, Sababa aiuta a difendere le auto connesse

auto connesse Automotive sotto attacco, FireEye analizza il cyber spionaggio

Sempre più auto connesse e mezzi commerciali per il trasporto capaci di interagire tra di loro e con l’esterno. Si prevede, infatti, un aumento del 134% dei veicoli connessi a livello globale, da 330 milioni nel 2018 a 775 milioni nel 2023. Il terzo livello di guida autonoma diventerà mainstream, mentre il livello 4 arriverà intorno al 2024. Entro il 2025, ogni auto connessa produrrà 25 GB di dati all’ora e fino a 500 GB se completamente autonoma, al fine di scambiare informazioni con sistemi cloud e comunicare con gli altri veicoli e le infrastrutture.

OEM, fornitori e post vendor si troveranno, quindi, a gestire una quantità enorme di dati, dovendo garantire la sicurezza del veicolo a guida autonoma dal punto di vista cyber, nonché l’integrità, la riservatezza e l’affidabilità dei dati stessi.

Tutto ciò ha un impatto dal punto di vista della cooperazione – afferma Omar Morando in qualità di Chief Technology Officer di Sababa Securityperché per costruire un veicolo l’OEM è sempre più un integratore di sistemi in un mercato dove gli attori in campo sono tanti e a più livelli, con più coinvolgimenti e con più responsabilità. Questa catena di distribuzione se da un lato ha dei risvolti positivi, come la capacità di comunicare tra veicoli e di interagire per rendere sempre più gradevole l’esperienza di guida, dall’altro si traduce in un’enorme superficie di attacco per i rischi cyber”.

Le normative per la sicurezza

Il settore dell’automotive conta molteplici normative incentrate sulla fornitura di linee guida per tutti coloro che operano nel mercato. L’IEC 62443 che si occupa della sicurezza dei siti produttivi e descrive gli aspetti tecnici e di processo in materia di cybersecurity per i sistemi OT e di automazione e controllo. L’ISO/SAE 21434 che ha lo scopo di garantire che gli OEM siano in grado di identificare, analizzare e gestire i rischi di cyber e potenziali danni legati agli attacchi durante l’intero ciclo di vita del veicolo. Mentre le UNECE R155-156 definiscono specifici obblighi in termini di cybersecurity per tutti i tipi di veicoli, stabilendo i sistemi di gestione della sicurezza informatica (CSMS) e i sistemi di gestione degli aggiornamenti del software (SUMS).

Nello specifico la R 155 impatta su tutto il ciclo di vita del veicolo e delle auto connesse, dal concept, alla produzione fino alla rottamazione, interessando tutta la supply chain. Di conseguenza anche i fornitori devono avere un ruolo attivo nel processo di sviluppo di una vettura “secure by design”, predisponendo un sistema di sorveglianza attiva sui rischi e sulle vulnerabilità che dovessero manifestarsi sul prodotto in esercizio.

Quindi, con la R 155 da una parte vengono disciplinati i processi di sviluppo e gestione della cybersecurity nell’organizzazione dell’azienda. Si parla, in questo caso, di CSMS (Cybersecurity Management System) e pertanto un costruttore deve dotarsi di un sistema di gestione della sicurezza certificato, che riguarda la gestione delle policy, l’individuazione e gestione dei rischi fino alla gestione degli eventi legati agli attacchi cyber.

Dall’altra parte viene disciplinata la cybersecurity con riferimento al prodotto. Vengono definite delle classi di rischi che devono essere considerate e rispetto alle quali il veicolo deve essere protetto, lasciando all’OEM e ai fornitori la definizione delle tecniche e delle soluzioni, che non vengono prese in considerazione dalla Regulation. Vengono solo delineati gli ambiti da considerare nella definizione di una strategia di protezione.

Volkswagen

Auto connesse a prova di attacco informatico

La UNECE R155 è entrata in vigore a luglio 2022 per i veicoli di nuova omologazione, mentre da luglio 2024 lo sarà per tutti gli altri veicoli immatricolati.

La R 155 nel suo Annex – precisa Morando – elenca almeno una sessantina di possibili attacchi informatici verso cui il costruttore deve dare prova di aver implementato delle contromisure o di essere totalmente resiliente e comunque deve aver messo in atto le migliori tecnologie le migliori soluzioni per garantire che questi attacchi non portino ad alcun esito o non vadano a concludersi con un esito positivo”.

Sababa propone un servizio legato all’automotive e all’OT rivolto sia ai produttori di veicoli o fornitori di componenti che abbraccia le normative specifiche sulla cybersecurity in campo automotive.

Nell’ambito della normativa UNECE 155, gli OEM sono ora obbligati a garantire che i siti di produzione dei veicoli siano sicuri dal punto di vista informatico tanto quanto i veicoli stessi. “Potrebbe essere doppiamente complicato riuscire ad affrontare il percorso di certificazione con persone esperte sia nel campo dell’automotive sia in quello dell’OT/ICS – sostiene Morando –, pertanto offriamo servizi di consulenza sia software sia hardware per andare ad analizzare e a suggerire ai clienti come implementare i requisiti di cyber che sono richiesti dai nuovi standard”.

Sababa Automotive Assessment aiuta gli OEM, i loro fornitori e altre aziende del settore a essere conformi sia alle normative specifiche sulla cybersecurity in campo automotive, come ISO/SAE 21434, UNECE R155-156, IEC 62443, sia a quelle più generiche, come il NIST CSF e il National Cybersecurity Framework.

I costruttori sono obbligati a eseguire penetration test

I moderni veicoli sono sistemi computerizzati dotati di infinite funzionalità per assistere il conducente, garantirne la sicurezza e offrire intrattenimento. Il continuo aumento delle interfacce utente e delle connessioni cloud sta notevolmente ampliando la superficie di attacco dei veicoli, mentre qualunque tipo di connessione può essere presa di mira per compromettere un veicolo o la sua infrastruttura. L’introduzione di nuovi standard di conformità (ad esempio UNECE R155-156) obbliga i produttori del mercato automobilistico e gli sviluppatori di sistemi a condurre attività di penetration test dei sistemi stessi nonché degli interi veicoli.

Sicurezza aziendale protezione dati

La sicurezza delle auto connesse

Siamo in grado di eseguire dei penetration test che vanno dal singolo componente all’intera infrastruttura – precisa Morando –. Facciamo analisi di compromissione cercando di aiutare il cliente a capire tutto quello che è il tema e il monitoraggio costante dell’esposizione in tempo reale di un veicolo. Ci occupiamo anche di formazione laddove il cliente abbia già una propria infrastruttura ma non abbia le complete competenze per andare a svolgere bene il proprio lavoro”.

Un veicolo in una valigetta

Il recente regolamento UNECE R155 richiede ai produttori di veicoli di valutare se le misure di sicurezza informatica implementate sono efficaci nel resistere alle emergenti minacce informatiche e alle vulnerabilità rilevate. Sono inoltre tenuti a fornire dati utili per supportare l’analisi di attacchi informatici tentati o riusciti.

Sababa Automotive Analysis of Compromise fornisce un’analisi approfondita di questi dati per aiutare le case automobilistiche a soddisfare i requisiti delle normative vigenti.

Il nostro scopo – sottolinea Morando – è di affiancare i clienti, quindi i costruttori dei veicoli e anche i fornitori coinvolti nella produzione, nella gestione del cybersecurity management system e nella valutazione e gestione del rischi”.

Sababa Security ha anche sviluppato un laboratorio portatile, un Automotive Testbed proprietario, che riproduce l’architettura standard di un veicolo, racchiusa in una valigetta. Il testbed comprende un’architettura più centraline ECU/TCU, un secure gateway, un CAN bus, interruttori e attuatori che riproducono i comandi di guida standard e gli indicatori dell’abitacolo, come lo sterzo, l’accelerazione, la frenata, i fari e così via, con una porta OBD-II per interagire con il sistema.

L’obiettivo del progetto è fornire alle case automobilistiche e ai costruttori uno strumento semplice e alla portata di tutti per formare i penetration tester dell’automotive sulle attività richieste dalle normative UNECE R155 e R156 e testare nuovi protocolli di comunicazione V2V (Vehicle-to-Vehicle) e V2I (Vehicle-to-Infrastructure), con la possibilità di realizzare versioni personalizzate del testbed con apparecchiature proprietarie dei clienti dal 2024.