I rischi di un cyber attacco contro le connected car sono quanto mai reali, come ha dimostrato l’ormai noto “incidente” della Jeep Cherokee: un gruppo di hacker ha assunto il controllo dell’auto (volante e freni) e costretto il costruttore – la FCA – a ritirare dal mercato 1,4 milioni di veicoli. Più connettività si traduce necessariamente in vulnerabilità?
L’incidente è stato “uno spartiacque”, secondo Martin Borrett, chief technology officer della divisione sicurezza Europa di Ibm. “Non serve avere accesso fisico alla macchina per comandarla”.
Per essere esatti, l’attacco (simulato) alla Jeep Cherokee ha richiesto due anni di lavoro da parte degli hacker sull’hardware dell’auto, prima di riuscire a entrare nel suo sistema da remoto, come spiega Eric Friedberg, fondatore della società di consulenza sulla cyber sicurezza Stroz Friedberg; tuttavia, una volta nel sistema, gli hacker possono fare ciò che vogliono nell’infrastruttura digitale dell’auto. Al tempo stesso, Friedberg nota che gli hacker non cercherannno l’intrusione da remoto nei sistemi dei veicoli per divertirsi a bloccarli mentre sono su strada: ciò che cercano, perché ha valore per il dark web, sono i dati contenuti nel veicolo.
Come spiega anche il Financial Times, nelle connected car i consumatori inseriscono tante informazioni personali, per esempio per pagare le app o i download di film o le credenziali di account vari, da Spotify alla posta elettronica. E’ la possibilità di rubare e rivendere questi dati l’incentivo ai cyber attacchi contro le auto connesse, perché quei dati hanno grande valore economico, sottolinea Andy Davis, direttore ricerche del gruppo della cyber security NCC. In questo le connected car non sono diverse da tutti gli altri oggetti della Internet of Things: cose connesse che contengono quantità enormi, e appetibili, di dati.
La sfida per chi produce oggetti che oggi sono “connessi”, dal tostapane all’automobile, è dunque aggiungere i requisiti di cyber sicurezza a quelli che sono stati offerti prima dell’era della IoT. Chi costruisce macchine è abituato a renderle sicure per viaggiare ma ora dovrà incorporare anche una sicurezza software, digitale, indica Borrett di Ibm: “Le case automobilistiche non sono solo fabbriche ma entrano nel mondo It perché oggi la macchina è un data center su quattro ruote”. Per ora gli “incidenti” cyber alle auto connesse sono state la dimostrazione di hacker “bene intenzionati” che volevano solo provare che occorre lavorare meglio sulla sicurezza, ma nel prossimo futuro “sono le organizzazioni criminali che ci devono preoccupare”, ammonisce Borrett.
I produttori d’auto sono consapevoli dei rischi e stanno già investendo miliardi di dollari per incorporare nel loro staff esperti di cyber security. Intanto a sfregarsi le mani sono i produttori di chip: Richard York, vice-president for embedded marketing di Arm, pensa che la sicurezza per auto connesse potrebbe aprire per la società la terza grande fase di crescita dopo il boom trainato da smartphone e attrezzature di rete.
I produttori di chip si aspettano non solo una domanda aumentata di processori per la tecnologia in auto, ma anche una domanda specifica di chip super-sicuri. Attualmente “i computer di bordo sono rudimentali, con sicurezza molto bassa”, secondo York. Presto i produttori d’auto chiederanno device da installare nei loro veicoli molto più complessi e protetti e le aziende dei chip si aspettano che il loro mercato raddoppi di valore nei prossimi sei anni.
“La maggior parte delle tecnologie per la sicurezza già esistono, i produttori d’auto devono solo uscire dal loro mondo e le troveranno”, conclude York. “Un anno fa non riconoscevano nemmeno che il settore potesse trovarsi di fronte a un rischio cyber security: non possono più negarlo adesso”.