Auto e cybersecurity, rischio blocco anche per le quattro ruote?

Un guasto alle piattaforme Microsoft ha lasciato a terra centinaia di aerei in tutto il mondo e bloccato l’operatività di molti aeroporti. Considerato l’utilizzo di auto sempre più connesse, la domanda sorge spontanea: un problema di cybersecurity o un attacco hacker potrebbe bloccare il traffico su quattro ruote? Prima di scoprire se le auto che usiamo quotidianamente sono a rischio, è utile ricordare i regolamenti che tutelano il settore. 

Automotive Cybersecurity: i regolamenti

Quali sono i principali regolamenti in materia di cybersecurity legata al mondo automotive? Il regolamento ONU n.155 riguarda il sistema di gestione della sicurezza informatica (Csms) che gli Oem (acronimo di Original Equipment Manufacturer ovvero i costruttori e produttori di componentistica) devono applicare allo sviluppo e alla supply chain dei veicoli. Il regolamento n. 156, che tratta gli aggiornamenti del software e del sistema di gestione degli aggiornamenti software (Sums) in capo all’Oem. Dallo scorso 7 luglio i costruttori hanno dovuto dimostrare, ai sensi del Regolamento Unece n. 155, che la sicurezza informatica è stata adeguatamente considerata durante lo sviluppo del prodotto. La Commissione economica europea delle Nazioni Unite (Unece) comprende 58 nazioni e copre automobili, furgoni, camion, pullman, autobus, veicoli agricoli e macchine mobili non stradali. In Europa i regolamenti Unece sono implementati attraverso il Regolamento sulla Sicurezza Generale dei Veicoli, che stabilisce i principi per i sistemi di assistenza alla guida (ora obbligatori) e il quadro giuridico.

Cybersecurity, standard ISO

Per agevolare l’applicazione del Regolamento n. 155 e n. 156, ISO in collaborazione con Sae – Society of Automotive Engineers – ha prodotto una serie di standard da rispettare. La norma ISO 21434, per rispondere al Regolamento n. 155, indica infatti i requisiti per il sistema di gestione della sicurezza informatica (Csms), la cui conformità è prova della cybersecurity dei veicoli di nuova omologazione. Lostandard ISO 24089, collegato al Regolamento n.156, è la guida per il processo di aggiornamento del software. Lo standard ISO 21434 (Road Vehicles Cybersecurity Engineering) indica i requisiti per il sistema di gestione della sicurezza informatica (Csms), la cui conformità è prova della sicurezza informatica dei veicoli smart di nuova omologazione. Lo standard ISO 21434 si applica ai sistemi elettrici ed elettronici dei veicoli stradali di produzione in serie, compresi il software e i relativi componenti e interfacce. Senza indicare alcun requisito tecnico o tecnologia relativa alla sicurezza informatica, specifica i requisiti per la gestione dei rischi di cybersecurity, tratta il tema del ciclo di vita del prodotto e definisce un linguaggio comune e post-vendita e le parti di ricambio. Ma quali sono i componenti interessati dalla ISO 21434? Sistemi di infotainment, gateway, sensori, videocamere, sistemi di sicurezza e di comunicazione. Tra le “vittime” illustri della nuova normativa, spicca la Porsche Macan termica; il suv tedesco è uscito dal mercato europeo proprio per la mancanza dei requisiti in cybersecurity. 

Auto e incidenti informatici

Il Global Automotive Cybersecurity Report 2024 ha contato oltre 1.468 incidenti informatici legati a veicoli connessi dal 2010. Dal 2023 si è registrato un aumento degli incidenti e degli attacchi informatici contro veicoli connessi. Nel dettaglio la metà dei sinistri ha causato danni al veicolo e al conducente. Altro lato preoccupante arriva dalla tipologia di attacco: il 95% è stato effettuato a distanza. 

Il caso della Jeep Cherokee guidata dagli hacker

Sono passati quasi 10 anni quando, nel 2015, due informatici riuscirono a violare il sistema Uconnect della Jeep Cherokee e riuscendo ad utilizzare i comandi della vettura da remoto. Fca decise di richiamare dal mercato Usa circa 1,4 milioni di veicoli dopo quanto accaduto. L’azienda decise quindi di adottare ulteriori misure di sicurezza contro il rischio di hackeraggio e manipolazioni dall’esterno alle auto dotate di un determinato impianto radio touchscreen con il quale sono allestiti alcuni modelli in Usa.