Connected Car Security è un nuovo tipo di rischio per la sicurezza mobile

All’inizio di quest’anno, abbiamo pubblicato un pezzo sulla necessità di un allarme di sicurezza informatica nel settore automobilistico. Il punto focale della storia è stato un rapporto sull’industria di Synopsys che ha sollevato bandiere rosse critiche per tutte le organizzazioni che operano all’interno della catena di fornitura automobilistica.

Avanti veloce a poco più di un anno e mezzo dopo (un’eternità nel mondo tecnologico), e sembra esserci più motivo di ottimismo.

Ho contattato Chris Clark di Synopsys non solo per avere un impulso su dove tutto si trovava, ma anche per verificare lo stato della sicurezza dell’auto connessa dal punto di vista del consumatore. Clark mi ha detto che dall’ultima volta che abbiamo parlato a febbraio, l’industria è stata molto rapida a reagire alle sfide di sicurezza che vengono sollevate.

“Quando hai un’organizzazione come Volkswagen che esce e afferma che non solo il futuro dello sviluppo del veicolo è fondamentale per l’organizzazione, ma anche la sicurezza e la sicurezza dei veicoli che vengono sviluppati dall’organizzazione, questo dice qualcosa”, ha detto.

Tenere il passo con la tecnologia automobilistica in continua evoluzione
Una rete su ruote
Connected Car Security Baked In Fin dall’inizio
Consigli pratici per il consumatore
L’ottimismo rimane nonostante le minacce profonde

Tenere il passo con la tecnologia automobilistica in continua evoluzione

Secondo Clark, una delle maggiori sfide alla sicurezza per l’industria è il lungo ritardo tra gli inizi concettuali di un veicolo e il suo eventuale lancio, che spesso può essere di cinque anni. Durante questo periodo, nuove tecnologie di sicurezza entrano in gioco, così i produttori di apparecchiature originali (OEM) e altre organizzazioni della catena di fornitura stanno pensando di più sulla sicurezza lungo la strada.

“Stanno facendo alcuni passi in avanti piuttosto significativi”, ha detto Clark. “Parte della sfida è quando guardi alla progettazione di un veicolo e guardi la sicurezza da zero, devi guardare i chip che stanno guidando quel sistema. Se ci sono punti deboli nel livello del chip non importa quanta sicurezza ci metti sopra, c’è ancora una debolezza.”

Recentemente, ha detto, i produttori di chip sono stati invitati a fornire soluzioni molto più robuste e sicure.

“Inizieremo a vederlo di più in ambienti critici per la sicurezza, in particolare con l’elaborazione multi-core richiesta per i sistemi di visione e altre tecnologie di tipo sensore-mesh. L’industria sta reagendo abbastanza rapidamente, ed è piuttosto impressionante da vedere finora”, ha aggiunto Clark.

Una rete su ruote

Ricordate, l’automobile di oggi — anche il più semplice veicolo recentemente rilasciato — è guidato da computer. Che si tratti di cruise control, gestione della corsia, misurazione della corsia o sistema di infotainment, c’è un computer che lo guida. Secondo Clark, quando parliamo di un’auto, è davvero una “rete su ruote con un sacco di computer.”

Il focus di quella rete per la maggior parte dei veicoli è, forse sorprendentemente, il sistema di infotainment. E non è solo la connettività 5G; veicoli intelligenti armati di Zigbee in grado di connettersi con sistemi di casa intelligente. Ad esempio, quando le auto si avvicinano a casa, possono interagire con l’infrastruttura domestica e comunicare lo stato del veicolo al proprietario.

E, come ogni rete, vale la pena ricordare che l’automobile sta ora raccogliendo una quantità significativa di dati. I ricercatori hanno anche avuto successo nel recupero di informazioni personali identificabili (PII) da veicoli auto a noleggio.

Non ci pensiamo abbastanza — ricordo di aver noleggiato un’auto l’anno scorso e ho sicuramente inserito il mio smartphone nel sistema CarPlay. Ho lasciato qualche informazione personale nel cervello dell’auto? Ammetto che il mio cuore ha perso qualche battito quando Clark ne ha parlato.

Qualsiasi azienda con una flotta di veicoli da offrire ai dipendenti deve considerare anche questo problema di privacy.

Connected Car Security Baked In Fin dall’inizio

Per quanto riguarda la sicurezza generale dell’auto connessa, i produttori di auto dovrebbero iniziare con le attività fondamentali nel processo di progettazione del veicolo. Strumenti come il test fuzz e l’analisi statica del codice dovrebbero essere standard e sono sull’orlo della standardizzazione tra i produttori.

Anche fondamentale per i produttori di auto è la gestione del debito tecnico una volta che il veicolo ha lasciato la produzione. In molti casi, l’unico momento in cui un veicolo viene servito è presso il rivenditore — a quel punto, sarà spesso ottenere un aggiornamento software.

“Le organizzazioni devono esaminare come gestire il software in quelle auto per tutta la durata del veicolo”, ha affermato Clark. “Quindi la virtualizzazione giocherà un ruolo chiave in questo.”

Poiché i produttori non possono tenere tutte le versioni del loro veicolo nel lotto da estrarre per i test, Clark ha consigliato di creare un ambiente virtualizzato per imitare il veicolo. Quindi, possono eseguire il livello di test richiesto per gestire le vulnerabilità di sicurezza man mano che si presentano durante la durata del veicolo. Mentre questo rappresenta una seria sfida per l’attuale raccolto di automobili, diventerà più facile per i veicoli negli anni futuri quando più ambienti virtualizzati in cui lavorare diventano disponibili.

Infine, nell’affrontare i vari hack che hanno colpito il settore, Clark ha visto gli OEM affrontare il problema in molti modi diversi.

“La diversità è davvero buona quando si inizia a parlare di sicurezza”, ha detto Clark. “Man mano che questi diversi metodi iniziano a maturare e vediamo alcuni metodi funzionare meglio di altri, inizieremo a vedere i fornitori su tutta la linea arrivare a metodologie di sviluppo standardizzate e soluzioni tecnologiche che alla fine avvantaggiano il consumatore.”

Consigli pratici per il consumatore

Per i consumatori che desiderano acquistare un’auto” più intelligente”, ci sono numerose opzioni e funzionalità che possono facilmente sopraffare anche i più esperti di appassionati di auto. Secondo Clark, ci sono alcune domande che dovresti farti:

Il veicolo ha un track record con un certo potenziale di assistenza e supporto per tutta la durata del suo ciclo di vita?
Il veicolo ha gli attributi tecnologici che trovo interessanti e si integra con la mia casa, il mio telefono e il mio stile di vita generale?
Se ci sono molto di più elettronica in questo veicolo che ci sono nella maggior parte, che cosa sarà che assomigliano da un punto di vista assicurativo?

Quest’ultima domanda merita ulteriori discussioni. Synopsys prevede una spinta nell’interesse dei consumatori intorno a ragionevoli requisiti di sicurezza informatica per un veicolo, soprattutto quando iniziano a guardare le loro bollette di assicurazione dopo l’acquisto.

“In genere, la maggior parte dei consumatori reagisce solo quando si sente un colpo finanziario da esso, e dove si sentiranno che è l’assicurazione”, ha detto Clark, notando che il settore assicurativo sta prendendo uno sguardo molto da vicino ai veicoli futuri. “C’è stato un lavoro sostanziale che si è verificato negli ultimi tre anni per il settore assicurativo a guardare alla sicurezza informatica in quanto riguarda non solo i veicoli autonomi, ma anche i veicoli che hanno più elettronica di quanto non abbiano mai fatto prima.”

Mentre i veicoli si muovono verso la piena autonomia con funzionalità come l’autoriparazione e l’autodiagnostica, la sicurezza e la sicurezza saranno certamente fattori nei tassi di assicurazione. Questo fattore inevitabilità nelle decisioni finanziarie dei consumatori pure.

L’ottimismo rimane nonostante le minacce profonde

Durante la stesura di questa storia, la CNN ha riportato un avvertimento dell’FBI affermando che “l’industria automobilistica probabilmente dovrà affrontare una vasta gamma di minacce informatiche e attività dannose nel prossimo futuro.”

Questo è certamente l’allarme, ma quando ci si ferma a pensarci, quale industria non viene presa di mira dalle minacce informatiche? Non dubito che dobbiamo essere cauti, ma questo non rafforza l’argomento secondo cui tutti dobbiamo prestare maggiore attenzione alla sicurezza informatica in generale? Per fortuna, Clark mi ha detto che tutti i fornitori di automobili stanno sviluppando un vernacolo universale per come condividono le informazioni sui requisiti di sicurezza delle auto connesse.

“L’industria sta iniziando ad allinearsi con il linguaggio comune che possono condividere per una comprensione chiara e coerente di ciò che viene chiesto”, ha affermato. “Questo è un grande salto in avanti rispetto a quello che abbiamo visto negli ultimi due anni.”

Con così tanto pessimismo che circonda lo stato del panorama delle minacce nel settore, è sicuramente incoraggiante sentire che i produttori stanno abbracciando i concetti di sicurezza più che mai. Tuttavia, l’industria non può permettersi di togliere il piede dal pedale del gas della sicurezza informatica.