Il settore automobilistico sta registrando un forte aumento dell’uso di tecnologie smart, software e connettività dei veicoli, che ci permettono di evolvere la concezione della mobilità.
Ma se la garanzia della sicurezza fisica e della sicurezza informatica è oramai estesa ed essenziale per gran parte dei settori produttivi e di consumo, il settore automotive non fa certo eccezione in fatto di cybersecurity.
Cosa dicono le statistiche sugli attacchi informatici alle auto
Secondo l’osservazione di Upstream Security, i vettori di attacco cyber all’automotive sono piuttosto variegati, ma primariamente legati, in oltre il 50% dei casi, alla violazione dei server e delle applicazioni per l’accesso remoto.
Il 15% delle volte le intrusioni avvengono attraverso i sistemi di infotainment e le app mobile; in aumento anche gli attacchi alle infrastrutture per il caricamento elettrico, che si posizionano fra le prime cinque cause di danno informatico che colpiscono gli automobilisti, seguiti da rischi minori, come ad esempio le intrusioni malevole diffuse attraverso i sistemi bluetooth.
L’attacco ad un veicolo può avvenire localmente con tecniche particolari – specifiche del settore – oppure via web tramite metodi più classici, passando dai datacenter o dagli applicativi online degli OEM.
Il movente è presto detto. L’hacker può agire in locale per accedere al veicolo e tentare, ad esempio, di rubarlo; le intrusioni via web, invece, sono in genere mirate a bloccare flotte di veicoli oppure a propagare virus.
Il punto è che ciascuna di queste minacce di cybersecurity influisce sulla sicurezza e sulle funzionalità dei veicoli, con potenziali danni a cose o persone, proprio come accade in molti altri contesti.
La Commissione Economica delle Nazioni Unite (UNECE) ha emesso perciò, attraverso il WP.29 – World Forum for Harmonization of Vehicle Regulations (Forum Mondiale per l’Armonizzazione delle Normative sui Veicoli), specifici regolamenti per la cybersecurity nell’automotive.
Quadro normativo per la Cybersecurity nell’Automotive
I principali regolamenti in ambito Automotive Cybersecurity sono:
- Regolamento n. 155, che riguarda il sistema di gestione della sicurezza informatica (CSMS) che gli OEM devono applicare allo sviluppo e alla supply chain dei veicoli
- Regolamento n. 156, che tratta gli aggiornamenti del software e del sistema di gestione degli aggiornamenti software (SUMS) in capo all’OEM
Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin
L’UNECE comprende 58 Stati e copre automobili, furgoni, camion, pullman, autobus, veicoli agricoli e macchine mobili non stradali. Seguire le normative citate è obbligatorio per i produttori negli Stati UNECE.
In Europa, ad esempio, i regolamenti UNECE sono implementati attraverso il Regolamento sulla Sicurezza Generale dei Veicoli, che stabilisce i principi per i sistemi avanzati di assistenza alla guida (obbligatori per migliorare la sicurezza stradale), e stabilisce il quadro giuridico per l’approvazione dei veicoli a guida autonoma.
Trattandosi di normative di recente introduzione, la scadenza in Europa è fissata per il 7 luglio 2024, termine entro il quale l’OEM dovrà dimostrare, ai sensi del Regolamento UNECE n. 155, che la sicurezza informatica è stata adeguatamente considerata durante lo sviluppo del prodotto.
Lo stesso vale per il software, come da Regolamento n. 156.
ISO 21434: lo standard per la Automotive Cybersecurity
Per agevolare l’applicazione del Regolamento n. 155 e n. 156, ISO, insieme a SAE – Society of Automobile Engineers – ha emesso alcuni standard.
La norma ISO 21434 è la soluzione per essere in linea con il Regolamento n. 155: indica infatti i requisiti per il sistema di gestione della sicurezza informatica (CSMS), la cui conformità è prova della cybersecurity dei veicoli di nuova omologazione.
Lo standard ISO 24089 è invece la guida per il processo di aggiornamento del software, collegato, ricordiamo, al Regolamento n. 156.
Leggi l’articolo:
Domande? Commenti?
Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin
Torna all'elenco degli articoli