Attacchi cibernetici
Il punto dolente delle auto connesse
23 Settembre 2020 agvs-upsa.ch – Gli attacchi cibernetici contro i veicoli non rappresentano solo danni economici ma possono anche mettere in pericolo la salute e la vita delle persone. Per questo l’Autotag di Allianz si è occupata dei rischi cibernetici delle auto connesse in rete.
Fonte: Allianz / AZT Automotive GmbH
abi. I ladri aprono le porte dell’auto senza le chiavi, il veicolo non si avvia più, durante la marcia un estraneo assume il controllo dei pedali dell’acceleratore e del freno oppure qualcuno ricarica la propria auto elettrica presso una stazione di rifornimento a spese di qualcun altro: quello che un tempo appariva pura fantascienza, oggi è uno scenario realistico. «Le auto connesse, così come il settore della logistica e dell’energia, potrebbero divenire in futuro i bersagli principali della criminalità informatica», ha affermato Klaus-Peter Röhler, presidente di Allianz SE. I possibili crimini sono furto, ricatto e danno d’immagine per il fabbricante. Nella peggiore delle ipotesi potrebbero venire paralizzate intere flotte.
L’8a Autotag, la giornata che Allianz dedica alle auto, tenutasi a metà settembre, ha trattato gli aspetti di sicurezza informatica dei veicoli connessi. «Entro il 2023 si calcola che in Europa circoleranno 110 milioni di veicoli connessi, con conseguenze interessanti sia per le assicurazioni che per i privati», ha spiegato Jochen Haug, presidente della divisione sinistri di Allianz Versicherungs-AG. Se da un lato le auto connesse, vere e proprie reti informatiche su ruote, offrono comfort e sicurezza grazie ai loro dispositivi di comando e sensori, basti pensare al cruise control adattivo, dall’altro gli aggiornamenti in remoto, l’integrazione del telefono e la comunicazione car-to-car rappresentano possibili punti di attacco per gli hacker. Il punto dolente: l’auto connessa deve offrire protezione contro i possibili rischi cibernetici e allo stesso tempo consentire un accesso semplice e veloce ai dati del veicolo, per permettere anche a terzi di contribuire allo sviluppo e alla realizzazione di nuovi prodotti e servizi.
Hanno discusso di attacchi cibernetici: (da s.) Conrad Meyer, Christoph Krauss, il moderatore Fero Andersen, Hans Adlkofer, Jochen Haug e Christoph Lauterwasser. Hanno partecipato alla discussione anche Klaus-Peter Röhler, Claudius Leibfritz, Frank Sommerfeld, Rico Förster e Rudi Hackenberg (non presente nell’immagine). Screenshot: Media UPSA
«In origine l’auto era un’opera meccanica. Oggi dobbiamo ripensare completamente l’auto, soprattutto negli ambiti connessi a Internet», ha dichiarato Christoph Lauterwasser, direttore di Allianz Zentrum für Technik. L’auto è un oggetto di valore che dura nel tempo. «Questo la rende appetibile per ladri e ricattatori.» Una delle maggiori questioni è come riuscire a garantire la sicurezza contro gli attacchi cibernetici lungo l’intero ciclo di vita del veicolo, che partendo dallo sviluppo e passando per la produzione e l’uso fino al riciclaggio può durare dai 20 ai 30 anni. «Questa è la grande sfida delle case automobilistiche.» Inoltre, secondo Lauterwasser l’interfaccia OBD è particolarmente pericolosa per gli attacchi. «In futuro dobbiamo capire se quest’interfaccia è ancora necessaria e se non esistono modi migliori per accedere al veicolo. Chi la utilizza deve prestare molta attenzione.»
L’importante è non limitarsi a pensare l’auto come prodotto, ma tenere conto dell’intera catena produttiva. «Anche la fase di produzione presenta punti di attacco per gli hacker. Successivamente anche altri fornitori hanno accesso all’auto, ad esempio per il servizio di assistenza, e possono subire attacchi anche loro», ha affermato Hans Adlkofer di Infineon Technologies AG. «Perciò dobbiamo offrire soluzioni end-to-end.» Le case automobilistiche possono trarre ispirazione da molti esempi, tra cui le banche. «Non si tratta di inventare la ruota», ha sottolineato Adlkofer. Allo stesso tempo ha osservato che gli hacker diventano sempre più abili. «Dobbiamo essere sempre un passo avanti a loro.»
Per riuscirci occorre puntare, per esempio, sulla formazione di specialisti. «C’è maggiore attenzione verso la sicurezza informatica», secondo Rudolf Hackenberg della Ostbayerische Technische Hochschule Regensburg. «Ma purtroppo oggi è difficile trovare professionisti capaci. Le aziende si fanno molta concorrenza.» Le università europee tuttavia si adoperano per sfornare un numero sufficiente di specialisti.
Conrad Meyer, esperto di digital forensic presso il ZITiS (ufficio centrale tedesco per la tecnologia informatica nel settore della sicurezza) ha evidenziato la necessità dei dati. «I dati sono importanti per la scienza forense perché permettono di capire cosa è avvenuto.» Tuttavia occorre disciplinare con precisione quali dati sono necessari e chi può raccoglierli.
Haug concorda: «I dati sono necessari anche per le assicurazioni. In caso d’incidente, i dati ricavati dall’auto ci dicono cos’è successo e se l’errore è dovuto al conducente, al sistema oppure all’auto che è stata hackerata.» Per questo Allianz chiede una soluzione europea per un «Automotive Security Information Center» intersettoriale. Röhler: «Abbiamo a che fare con una minaccia che travalica i confini aziendali e nazionali. Siamo convinti della necessità di unire un simile centro dati alle competenze di varie istituzioni.» Il riferimento è alle autorità di governo, alle case automobilistiche, ai subfornitori, ai gestori delle telecomunicazioni, agli istituti di ricerca, alle aziende di riparazione e agli assicuratori.
Le potenzialità degli attacchi hacker sono già state dimostrate dai giovani di Wire nel 2015 su una jeep (video in inglese):
Fonte: Wired
Fonte: Allianz / AZT Automotive GmbH
abi. I ladri aprono le porte dell’auto senza le chiavi, il veicolo non si avvia più, durante la marcia un estraneo assume il controllo dei pedali dell’acceleratore e del freno oppure qualcuno ricarica la propria auto elettrica presso una stazione di rifornimento a spese di qualcun altro: quello che un tempo appariva pura fantascienza, oggi è uno scenario realistico. «Le auto connesse, così come il settore della logistica e dell’energia, potrebbero divenire in futuro i bersagli principali della criminalità informatica», ha affermato Klaus-Peter Röhler, presidente di Allianz SE. I possibili crimini sono furto, ricatto e danno d’immagine per il fabbricante. Nella peggiore delle ipotesi potrebbero venire paralizzate intere flotte.
L’8a Autotag, la giornata che Allianz dedica alle auto, tenutasi a metà settembre, ha trattato gli aspetti di sicurezza informatica dei veicoli connessi. «Entro il 2023 si calcola che in Europa circoleranno 110 milioni di veicoli connessi, con conseguenze interessanti sia per le assicurazioni che per i privati», ha spiegato Jochen Haug, presidente della divisione sinistri di Allianz Versicherungs-AG. Se da un lato le auto connesse, vere e proprie reti informatiche su ruote, offrono comfort e sicurezza grazie ai loro dispositivi di comando e sensori, basti pensare al cruise control adattivo, dall’altro gli aggiornamenti in remoto, l’integrazione del telefono e la comunicazione car-to-car rappresentano possibili punti di attacco per gli hacker. Il punto dolente: l’auto connessa deve offrire protezione contro i possibili rischi cibernetici e allo stesso tempo consentire un accesso semplice e veloce ai dati del veicolo, per permettere anche a terzi di contribuire allo sviluppo e alla realizzazione di nuovi prodotti e servizi.
Hanno discusso di attacchi cibernetici: (da s.) Conrad Meyer, Christoph Krauss, il moderatore Fero Andersen, Hans Adlkofer, Jochen Haug e Christoph Lauterwasser. Hanno partecipato alla discussione anche Klaus-Peter Röhler, Claudius Leibfritz, Frank Sommerfeld, Rico Förster e Rudi Hackenberg (non presente nell’immagine). Screenshot: Media UPSA
«In origine l’auto era un’opera meccanica. Oggi dobbiamo ripensare completamente l’auto, soprattutto negli ambiti connessi a Internet», ha dichiarato Christoph Lauterwasser, direttore di Allianz Zentrum für Technik. L’auto è un oggetto di valore che dura nel tempo. «Questo la rende appetibile per ladri e ricattatori.» Una delle maggiori questioni è come riuscire a garantire la sicurezza contro gli attacchi cibernetici lungo l’intero ciclo di vita del veicolo, che partendo dallo sviluppo e passando per la produzione e l’uso fino al riciclaggio può durare dai 20 ai 30 anni. «Questa è la grande sfida delle case automobilistiche.» Inoltre, secondo Lauterwasser l’interfaccia OBD è particolarmente pericolosa per gli attacchi. «In futuro dobbiamo capire se quest’interfaccia è ancora necessaria e se non esistono modi migliori per accedere al veicolo. Chi la utilizza deve prestare molta attenzione.»
L’importante è non limitarsi a pensare l’auto come prodotto, ma tenere conto dell’intera catena produttiva. «Anche la fase di produzione presenta punti di attacco per gli hacker. Successivamente anche altri fornitori hanno accesso all’auto, ad esempio per il servizio di assistenza, e possono subire attacchi anche loro», ha affermato Hans Adlkofer di Infineon Technologies AG. «Perciò dobbiamo offrire soluzioni end-to-end.» Le case automobilistiche possono trarre ispirazione da molti esempi, tra cui le banche. «Non si tratta di inventare la ruota», ha sottolineato Adlkofer. Allo stesso tempo ha osservato che gli hacker diventano sempre più abili. «Dobbiamo essere sempre un passo avanti a loro.»
Per riuscirci occorre puntare, per esempio, sulla formazione di specialisti. «C’è maggiore attenzione verso la sicurezza informatica», secondo Rudolf Hackenberg della Ostbayerische Technische Hochschule Regensburg. «Ma purtroppo oggi è difficile trovare professionisti capaci. Le aziende si fanno molta concorrenza.» Le università europee tuttavia si adoperano per sfornare un numero sufficiente di specialisti.
Conrad Meyer, esperto di digital forensic presso il ZITiS (ufficio centrale tedesco per la tecnologia informatica nel settore della sicurezza) ha evidenziato la necessità dei dati. «I dati sono importanti per la scienza forense perché permettono di capire cosa è avvenuto.» Tuttavia occorre disciplinare con precisione quali dati sono necessari e chi può raccoglierli.
Haug concorda: «I dati sono necessari anche per le assicurazioni. In caso d’incidente, i dati ricavati dall’auto ci dicono cos’è successo e se l’errore è dovuto al conducente, al sistema oppure all’auto che è stata hackerata.» Per questo Allianz chiede una soluzione europea per un «Automotive Security Information Center» intersettoriale. Röhler: «Abbiamo a che fare con una minaccia che travalica i confini aziendali e nazionali. Siamo convinti della necessità di unire un simile centro dati alle competenze di varie istituzioni.» Il riferimento è alle autorità di governo, alle case automobilistiche, ai subfornitori, ai gestori delle telecomunicazioni, agli istituti di ricerca, alle aziende di riparazione e agli assicuratori.
Le potenzialità degli attacchi hacker sono già state dimostrate dai giovani di Wire nel 2015 su una jeep (video in inglese):
Fonte: Wired
Aggiungi commento
Commenti