I 10 (e più) pericoli cibernetici per le nuove auto connesse
I pericoli cibernetici per le nuove auto connesse secondo la quinta edizione del Global Automotive Cybersecurity Report 2023 di Upstream, la società israeliana specializzata nella cybersicurezza automotive.
In questo articolo
Anno domini 2022 per la cybersecurity in auto. Lo sottolinea anche la quinta edizione del Global Automotive Cybersecurity Report 2023 di Upstream, la società israeliana specializzata nella cybersicurezza automotive. Nel quale si evidenza come se da un lato a luglio scorso è entrato in vigore il regolamento internazionale UNECE WP.29 R155 sulla sicurezza digitale delle nuove auto connesse, dall’altro, nei dodici mesi scorsi, sono cresciuti gli attacchi cibernetici a tutta la filiera della mobilità, con una forte accelerazione sull’infrastruttura di rifornimento dei veicoli elettrici in corso di sviluppo e, soprattutto, contro le Api (+380% sul 2021!) che permettono le varie integrazioni tra i tantissimi software attivi nel comparto.
Un settore interessante (anche per i cyber criminali)
Il nuovo mondo digitale sta trasformando “l’industria automobilistica in un vivace ecosistema di mobilità intelligente” grazie “ai veicoli connessi ed elettrici, insieme a una ricca esperienza e di applicazioni basate sui dati”, come scrive nell’introduzione al report il Co-founder e Ceo di Upstream Yoav Levy. Il quale, però, sottolinea come questo nuovo ecosistema abbia ampliato “i rischi informatici, che devono essere affrontati, come dimostrato dall’aumento esponenziale dell’entità, della frequenza e della sofisticatezza degli attacchi informatici nell’ultimo decennio”. Tra cui la grande “novità” dei primi segnali di attacchi e di manipolazioni all’infrastruttura dei veicoli elettrici.
Leggi Anche: come mantenere la cybersecurity in auto e proteggere i propri dati.
Costi per 550 miliardi di dollari
Con il mercato dei veicoli connessi che si prevede raggiungerà un valore di 197 miliardi di dollari entro il 2030, gli attacchi all’industria automobilistica continueranno ad avere un impatto di vasta portata. Negli ultimi anni, un numero crescente di aziende è stato vittima di attacchi informatici sempre più sofisticati. Alcuni attacchi possono avere un notevole impatto sul settore, poiché a volte il completamento del ripristino può richiedere mesi. La società di consulenza Accenture ha infatti calcolato perdite per ben 505 miliardi di dollari per l’industria automobilistica tra il 2019 e il 2023.
Crescono gli attacchi (e sono sempre più remoti)
Se negli scorsi anni gli attacchi ai velivoli più frequenti erano quelli alle chiavi elettroniche, per rubare fisicamente i mezzi, da due anni i cyber-attacchi più frequenti sono stati a server e ai sistemi telematici (il 35% nello scorso anno), per impossessarsi di dati sensibili, seguiti sì dalle remote keyless (al 18%), dalle sempre più sofisticate unità di controllo (Ecu, il 14%) e, come detto, dalle Api (al 12%).
Attacchi che, visto anche la loro natura, puntano principalmente a impossessarsi di dati sensibili degli utenti e dei veicoli, interrompere il business di chi possiede questi mezzi (e quindi molti dei quali utilizzati dalle aziende) e, solo al terzo posto, queste attività puntano al furto dell’unità o di una parte di questa.
Attacchi che Upstream ha calcolato in ben 268 in tutto il mondo nel corso dell’anno, contro i poco più 240 dell’anno prima, fatti ormai per il 97% fatti da remoto, con il 70% da lunghe distanze.
Diversi gradi di vulnerabilità
Upstream riporta poi un sistema di punteggio di vulnerabilità progettato per fornire un metodo aperto e standardizzato per valutare questi attacchi cibernetici, ovvero il Common Vulnerability Scoring System (CVSS). Vulnerabilità che interessano sempre meno i costruttori i o fornitori Tier 1, andando invece a colpire soprattutto i fornitori di Chip e di software.
Nuove regole per combattere gli attacchi
I regolamenti delle Nazioni Unite UNECE WP.29 R155 e R156 e lo standard ISO/SAE 21434 sono finalmente entrati in vigore, andando a cambiare l’iter progettuale e di omologazione dei velivoli in tutto il mondo. Spingendo anche altre organizzazioni di regolamentazione ad accelerare le normative sulla sicurezza informatica, tra cui la National Highway Traffic Safety Administration (NHTSA) degli Stati Uniti e il Ministero cinese dell’Industria e dell’Information Technology (MIIT) che a marzo ha pubblicato la sua tabella di marcia e le linee guida per la sicurezza informatica e dei dati dei veicoli connessi.
Oltre alla sicurezza Plug-and-Charge delineata nella norma ISO 15118, i legislatori e gli organismi di regolamentazione di tutto il mondo stanno diventando più consapevoli dei rischi di sicurezza informatica per i veicoli, l’infrastruttura dei veicoli elettrici e la privacy dei consumatori e stanno iniziando a lavorare su nuove normative per affrontarli. Anche sui veicoli autonomi.
Nascono i Fusion vSoc
Dopo aver mutuato dal mondo It i Security operation center, per monitorare il comportamento dei software e dei sensori a borde delle auto, ora si è giunta a una ulteriore sofisticazione con i “Fusion vSOC”, che spostano i riflettori sulla collaborazione inter-funzionale tra tutti gli attori. Per meglio combattere gli attacchi cross asset (V2X) e gli attacchi basati sulle Api.
***
CONTINUA A LEGGERE SU FLEETMAGAZINE.COM
Per rimanere sempre aggiornato seguici sul canale Telegram ufficiale e Google News.
Iscriviti alla nostra Newsletter per non perderti le ultime novità di Fleet Magazine.