La sicurezza informatica nell’Automotive
ISO/SAE 21434:2021, lo standard pietra miliare per l’industria automobilistica per quanto riguarda la sicurezza informatica.
Articolo a cura di Talindo Mirko Ragno, Area Business Development NIER Ingegneria
CYBERSECURITY, AUTO CONNESSE, … E SILICIO: L’EVOLUZIONE DELLA SABBIA!
L’implementazione di più ECU (Electronic Control Unit) all’interno dei veicoli è iniziata nei primi anni ’70 grazie allo sviluppo di circuiti integrati e microprocessori che hanno reso economicamente fattibile la produzione delle ECU su larga scala.
Da allora il numero di ECU è aumentato fino a 100 per veicolo.
Queste unità oggigiorno controllano quasi tutto a bordo veicolo, da compiti semplici, come l’attivazione dei tergicristalli, a quelli più legati alla sicurezza (safety), come la sterzata assistita o l’ABS.
Inoltre, le auto moderne sono più connesse che mai (V2X).
Infotainment e sistemi di navigazione, diagnostica, Wi-Fi, connessioni Internet (3G, 4G), ADAS e altre innovazioni formano una “rete” complessa (architettura elettrica/elettronica – E/E) che aiuta a rendere la guida un gioco da ragazzi.
Tali funzioni sono elementi fondamentali nel veicolo, sia dal punto di vista della safety che dal punto di vista del business: da un lato possono evitare incidenti, dall’altro influenzano pesantemente la decisione del cliente di acquistare o rinunciare a un veicolo.
DALLE RETI DI COMPUTER ALLE RETI DI VEICOLI: LA CYBERSECURITY ALLA GUIDA!
Queste innovazioni espongono anche tutti i veicoli moderni a nuovi attacchi da parte di hacker malintenzionati che mettono a rischio la sicurezza e la protezione di milioni di veicoli e di conseguenza dei suoi utilizzatori.
A tal proposito, uno dei problemi principali è dato dal fatto che per ottenere le odierne funzionalità richieste, è necessario interconnettere più sensori, attuatori ed ECU attraverso delle reti che sono state progettate in tempi in cui i veicoli erano unità isolate, non interconnesse e sebbene tali reti si stiano lentamente sviluppando per adattarsi a questi nuovi requisiti, esse non sono state progettate pensando alla sicurezza.
L’interconnessione di reti di veicoli non sicure ricorda l’interconnessione delle prime reti di computer a Internet e i conseguenti problemi di sicurezza degli anni ’80.
Tuttavia, la sicurezza nelle reti dei veicoli è a molti livelli più preoccupante della sicurezza nei sistemi di personal computer, poiché le reti dei veicoli e le centraline collegate hanno un’influenza diretta sulla sicurezza del veicolo e dei suoi passeggeri e sebbene esistano diversi approcci per garantire la sicurezza in aree simili (autenticazione, autorizzazione, crittografia, …), la combinazione di bassa potenza di calcolo, stringenti requisiti di real-time, elevata influenza sui costi, ecc., rende non banale la soluzione al problema.
SARÀ ANCORA UNA VOLTA UNO STANDARD A RISOLVERE IL PROBLEMA?
Gli approcci per proteggere le architetture E/E in ambito Automotive presenti attualmente in letteratura possono solo costituire un primo passo nella vasta area della sicurezza di tali sistemi e sono necessari ulteriori lavori per garantirne la protezione.
Uno dei compiti principali, sia in termini di tempo che di impegno, è la standardizzazione di qualsiasi approccio proposto.
Solo attraverso approcci standardizzati è possibile evitare soluzioni personalizzate e potenzialmente non sicure e consentire l’integrazione pulita di approcci accuratamente testati, favorendone ulteriormente l’adozione diffusa e, pertanto, costituendo la base delle future soluzioni.
Inoltre, l’integrazione della sicurezza sin dalla progettazione è una sfida fondamentale.
Ciò include standard di codifica sicura per il software nei veicoli, un’analisi combinata di sicurezza e protezione e la progettazione di algoritmi di controllo che incorporano le specifiche della sicurezza.
Lo standard ISO/SAE 21434:2021, pubblicato ufficialmente in agosto ’21, si pone proprio il chiaro obiettivo di assicurarsi che tutti i principali attori del settore Automotive, siano essi i costruttori di veicoli oppure i fornitori di componenti e/o servizi, abbiano consapevolezza dell’importanza della sicurezza nel processo di sviluppo prodotti, definendo un approccio standard per la realizzazione di un processo di cybersecurity, eventualmente integrato in quello di safety già esistente, senza entrare nel merito di scelte tecnologiche, tool e metodi specifici.
CYBERSECURITY ENGINEERING: CONSIDERARE GLI ASPETTI ORGANIZZATIVI, UMANI E LEGALI È DETERMINANTE. SERVE UN APPROCCIO INTEGRATO!
Oltre a questi aspetti tecnici, sono necessarie grandi quantità di lavoro sugli aspetti legali e sociali della sicurezza dei veicoli.
Le domande potrebbero essere diverse:
• chi è responsabile in caso di incidente, causato da un attacco?
• cosa è necessario per provare un attacco?
• in che modo la sicurezza dei veicoli influisce sul riconoscimento del marchio?
• cosa succede ai dati personali (registri di guida, dati di riconoscimento vocale, ecc.) generati nei veicoli?
• dove possono essere archiviati legalmente i dati generati da singoli veicoli o tra veicoli?
È necessario molto lavoro per rispondere a queste e altre domande simili, per integrare la sicurezza nei veicoli e garantire la privacy di proprietari e passeggeri.
Quanto sino ad ora fatto pone solo le basi per rispondere ad alcuni degli aspetti tecnici della sicurezza automobilistica, ma a causa dell’eterogeneità di OEM, catene di approvvigionamento, componenti elettronici, aspetti legali, valori sociali, ecc., tanto altro ancora bisognerà fare per poter combinare, integrare e garantire la sicurezza, durante tutto il ciclo di vita di un autoveicolo.
La sicurezza deve assolutamente essere vista come un concetto olistico nei veicoli!
• Siamo felici di accogliere queste nuove sfide insieme e di potervi supportare nella definizione di una strategia di CyberSecurity: scrivici a BD@nier.it
Altri Articoli e Casi Studio sulla CyberSecurity:
APPLICAZIONE STANDARD IEC DI CYBERSECURITY SU SISTEMI SOFTWARE DI DIAGNOSTICA