L’innovazione digitale ha permesso negli ultimi decenni ai Car Maker di incrementare in modo continuo safety, potenza, ecosostenibilità, funzionalità dei propri veicoli, dal controllo della stabilità all’iniezione elettronica, dalla guida assistita ai nuovi servizi di navigazione e tracciamento. Le auto sono oggi vendute con funzioni di serie di connettività e intrattenimento, con capacità di telefonare e fare video, condividere immagini, accedere a social, giochi e musica online.

Tuttavia, un utilizzo sempre più diffuso di condivisione di informazioni e connettività, ha portato i veicoli smart ad essere potenzialmente vulnerabili agli attacchi cyber, un tema che è oggi sotto gli occhi di tutti: continuamente infatti arrivano notizie di bug individuati nel software delle auto del futuro.

Smart Car Hacking: 14 bug scoperti nelle auto BMW

Due settimane fa è stato reso noto che un team di ricercatori di sicurezza cinesi, del Keen Security Lab, unità di ricerca di Tencent, ha scoperto oltre 14 bug in vari modelli di auto BMW in un audit durato 12 mesi (da gennaio 2017 a febbraio 2018). Tutte queste vulnerabilità espongono potenzialmente le auto ad attacchi effettuati anche da remoto: gli hacker riescono ad accedere al CAN bus interno e ad interagire con tutti i componenti collegati, e possono prendere il controllo totale dell’auto.

“I problemi di sicurezza delle auto non sono solo un problema di esposizione di dati personali, ma possono mettere a rischio la sicurezza fisica delle persone. Inoltre, con queste forme di attacco, gli incidenti non sono più isolati, ma potenzialmente possono avvenire contemporaneamente in più luoghi” ha commentato in un’intervista pubblicata dalla stessa BMW Samuel Lv, direttore del Keen Security Lab.

(Fonte: BMW, Tencent Keen Security Lab and the BMW Group on Automotive Security, May 22, 2018)

Lo stesso gruppo di ricercatori aveva verificato in passato la presenza di vari bug nei sistemi elettronici in-car utilizzati da Tesla. Mentre BMW ha confermato i problemi del suo firmware e li  sta risolvendo con aggiornamenti OTA (over the air), i ricercatori hanno pubblicato un report con l’assessment delle vulnerabilità, omettendo però di fornire dettagli tecnici che potrebbero essere utilizzati da eventuali attaccanti. Quello che è emerso sono problemi associati ad alcuni componenti: il sistema di Intrattenimento (Head Unit), la centralina di controllo telematico (Telematics Control Unit , TCU o T-Box), e il Central Gateway Module.

Consumatori sempre più attenti a temi come Sicurezza e Privacy

Oggi non solo i Car Maker e il loro ecosistema di partner sono attenti a questi temi: cybersecurity e privacy, ossia il corretto utilizzo e il rispetto dei nostri dati personali, sono criticità che interessano oggi anche i singoli consumatori.

Secondo la Irdeto Global Consumer Connected Car Survey[1] (condotta tra ottobre 2017 e novembre 2017 su un panel di 8.354 consumatori di 6 nazioni, tra cui Canada, Cina, Germania, Giappone, UK e USA) l’85% dei consumatori dei Paesi più industrializzati ritiene che qualsiasi auto connessa può potenzialmente cadere vittima di un attacco cyber.

(Fonte: Irdeto Global Consumer Connected Car Survey, Dicembre 2017)

In aggiunta, il 59% degli intervistati che dichiara di possedere già un’auto connessa, ritiene che il proprio veicolo potrebbe subire un attacco cyber.

La consapevolezza sull’intrinseca vulnerabilità dei nuovi modelli di smart car sta oggi portando i consumatori a interrogarsi sui rischi legati all’acquisto di un veicolo dotato di queste funzioni avanzate. Considerando infatti consumatori che sono in procinto di comprare un nuovo veicolo, oltre il 53% afferma che prima dell’acquisto verificherà se il veicolo che intende acquistare è dotato di sufficienti misure di cybersecurity.

(Fonte: Irdeto Global Consumer Connected Car Survey, Dicembre 2017)

Più sicurezza cyber per milioni di connected car già in circolazione

Il tema della cybersecurity nel mondo Automotive è sempre più all’attenzione di Car Maker, policy maker e anche di singoli consumatori. Se gli attacchi cyber rivolti alle auto sono al momento molto meno frequenti rispetto a quelli che riguardano PC, reti, data center e ambienti cloud, è però anche vero che l’impatto su un veicolo connesso (o potenzialmente, su milioni di macchine in circolazione, visto che già oggi sono venduti a livello globale oltre 20 milioni di auto connesse all’anno) possono andare ben oltre il furto di dati. In gioco, questa volta, c’è la stessa safety delle persone.

Nei prossimi anni, sia i Car Maker sia i loro fornitori Tier 1 saranno chiamati a dimostrare di aver messo in piedi tutte le misure per proteggere i veicoli da attacchi informatici, con una strategia di difesa multi-livello in grado di mettere in sicurezza tutti i componenti e sensori dell’auto, oltre che naturalmente tutti i dati raccolti sui guidatori; di rivolvere i bug una volta scoperti; di contenere un eventuale attacco o comportamento anomalo del veicolo nel momento in cui dovesse accadere. In gioco c’è la loro reputazione e la sostenibilità di modelli di business che si stanno spostando sempre di più sul fronte dell’innovazione digitale.

[1] The Irdeto Global Consumer Connected Car Survey examines consumer ownership and purchasing plans for connected vehicles, awareness of cyberattacks targeting connected cars, cybersecurity concerns for both connected cars and autonomous vehicles, and the likelihood that consumers would research a vehicle’s ability to protect itself from a cyberattack prior to purchasing a connected car. The research was conducted online by YouGov from October 25, 2017 – November 9, 2017 and surveyed 8,354 adults (aged 18+) in six countries, including Canada, China, Germany, Japan, UK and US