Sostenibile e intelligente, la smart car pone la filiera dell’automotive di fronte alla sfida della sicurezza digitale, a partire dalle colonnine di ricarica.
Con la crescita esponenziale del numero di veicoli connessi in circolazione, oggi per l’industria automobilistica è imperativo comprendere, prevedere e combattere le crescenti minacce alla sicurezza informatica. D’altra parte, il recente “Global Automotive Cybersecurity Report 2022” della società israeliana Upstream, creatrice di una piattaforma di sicurezza informatica e gestione dei dati per veicoli connessi basata sul cloud, ha lanciato l’allarme: se è vero che le auto con accesso keyless si confermano ancora oggi facilmente hackerabili, altrettanto efficaci risultano gli attacchi effettuati da remoto, senza bisogno di accedere fisicamente all’auto.
Non è tutto: oltre a contrastare i cyberattacchi diretti ai veicoli, all’attenzione dell’industria automobilistica non deve neppure sfuggire la sicurezza dell’ambiente connesso. Infatti, il report di Upstream ricorda al settore che le colonnine e le stazioni di ricarica figurano come il primo su tre rischi emergenti nello scenario di cybersecurity delle auto elettriche.
«Le colonnine di ricarica rappresentano potenziali porte di ingresso in un sistema complesso e un attacco esterno può trasformarsi in uno strumento per colpire più vittime, dall’utente singolo alla società di gestione del servizio al produttore dell’auto stessa» osserva Stefano Brusaferro, Sales & Director di HWG, azienda specializzata nella fornitura di soluzioni di cybersecurity e servizi di consulenza.
Effettivamente, nonostante alcune contromisure di contrasto e difesa siano state fissate a livello normativo, non sembra che la questione cybersicurezza sia ancora stata colta nella sua interezza. Quando si parla dell’ecosistema dell’auto, infatti, si fa riferimento a un fronte articolato che riguarda utenti e imprese così come veicoli e infrastrutture, ognuno con il suo rischio informatico.
«A luglio 2021 sono entrati in vigore due regolamenti specifici (Unece WP.29 R155 e ISO/SAE 21434) che riguardano gli standard per la progettazione e la gestione delle smart car sul fronte della sicurezza informatica. I regolamenti però hanno come oggetto della protezione da cyberattacchi i veicoli e non prestano la giusta attenzione all’ambiente in cui essi si muovono».
La cultura della sicurezza ha perciò ancora una lunga strada da percorrere quando si parla di infrastrutture, con un dibattito che al momento appare pressoché focalizzato sul veicolo in sé. Eppure dovrebbe essere di dominio comune che ogni porta, ogni dispositivo in rete, oltre ad aprire a funzioni e modelli di business innovativi, può diventare oggetto di un attacco cyber: «Ogni oggetto connesso, ogni end-point dell’ecosistema IoT apre la strada ai cybercriminali ed è quindi importante non sottovalutare il tema della sicurezza informatica anche nel settore automotive».
Raddoppiano i punti di ricarica
Riprendendo il report dell’associazione Motus- e, le auto elettriche circolanti in Italia al 31 marzo 2023 sono all’incirca 183.467, con le immatricolazioni full electric nel mese di marzo in aumento dell’81,96% sul 2022 (8.170 unità) e un record storico di immatricolazioni BEV per quanto riguarda il primo trimestre dell’anno. Anche le infrastrutture di ricarica sono in netto aumento, con un nuovo record di punti di ricarica installati (ormai oltre 300 a settimana) e il totale nazionale oltre quota 41.000 (nell’arco di due anni esatti i punti di ricarica presenti in Italia sono praticamente raddoppiati).
Analizzando la distribuzione delle infrastrutture, si osserva un leggero recupero al Sud e nelle Isole, ora al 21% del totale con un aumento di un punto percentuale rispetto al Nord (57% del totale) e un avvicinamento al livello del Centro (22%). La Lombardia si conferma la regione con più punti di ricarica (6.661), davanti al terzetto costituito da Piemonte (4.215), Veneto (4.169) e Lazio (4.032). Chiude la “top 5” l’Emilia-Romagna (3.732), con la Campania che dal canto suo in avanti più marcato: da inizio anno i punti di ricarica nella regione sono passati da 1.184 a 2.145 (+81%).
Considerata la crescente ramificazione infrastrutturale, diventa fondamentale comprendere quali obiettivi spingono i cybercriminali ad attaccare le colonnine di ricarica. «Gli obiettivi possono essere molteplici - commenta Brusaferro - Sicuramente avere il controllo di una colonnina di ricarica significa poter violare l’account dell’utente e da lì entrare nell’app con cui gestisce il rifornimento della sua vettura. Di conseguenza, avere accesso all’app significa entrare nello smartphone dell’utente e poter accedere a tutti i suoi dati».
Uno scenario davvero preoccupante, eppure potrebbe trattarsi solo del primo punto di contatto in un attacco di più ampia portata, capace di aprire il campo ad aggressioni ancora più profonde in grado di coinvolgere un numero sempre maggiore di soggetti a rischio. «A rischiare è anche l’auto stessa: peggio ancora, l’intera flotta di un produttore di veicoli elettrici può essere attaccata, riportando danni di ingente portata. Inoltre, non va dimenticato il rischio a carico della società energetica erogatrice, che può ritrovarsi con interi punti di rifornimento bloccati da un ransomware e da una richiesta di riscatto potenzialmente milionaria».
Gli attacchi più diffusi
Chiarito il fatto che i soggetti coinvolti in un attacco cyber possono essere i più diversi nell’ambito del settore smart car, allo stesso modo gli eventi criminosi che un attaccante può generare da una colonnina sono molteplici.
«Gli attacchi a una colonnina di ricarica possono essere di diversa tipologia - aggiunge Brusaferro, che prosegue - dal furto di potenza di ricarica, che si traduce in utilizzo non autorizzato del servizio; alla manipolazione dei sistemi di pagamento con accesso ai dati bancari degli utenti; all’interruzione del funzionamento della stazione di ricarica, che può trasformarsi in un classico attacco DoS (Denial of Service) con richiesta di riscatto; alla violazione del sistema digitale dei veicoli, con possibile danneggiamento di alcune componenti cruciali».
Fortunatamente, è possibile individuare le caratteristiche tecnologiche fondamentali e imprescindibili per una colonnina di ricarica cyber-sicura. «Gli hacker possono attaccare direttamente le infrastrutture sfruttando vulnerabilità tecnologiche, ma molto più spesso la vulnerabilità dei sistemi è frutto di errori umani. Per questo motivo è importante adottare misure di protezione idonee per proteggersi dagli attacchi informatici.
Innanzitutto, è fondamentale fornire uno “scudo di protezione” (shielding) alla colonnina, in grado di identificare il traffico generato da eventuali bot o da script malevoli anche se vengono utilizzate credenziali corrette o API valide. Questa misura è prioritaria, poiché queste tecniche di attacco sono le più diffuse ed efficaci nel creare danni».
Altrettanto importanti sono le attività di test e verifica dei requisiti di cybersicurezza dei dispositivi, anche in chiave preventiva. «Le società che producono e gestiscono le colonnine di ricarica devono verificare che ogni punto di ingresso nella piattaforma sia stato sottoposto a penetration test. I test non devono puntare solo a individuare vulnerabilità da risolvere, ma hanno il compito anche di verificare quanto la piattaforma è sensibile a eventuali infiltrazioni di bot e script malevoli».
Un ulteriore tema riguarda, infine, gli accessi da mobile, aspetto meritevole della massima attenzione. «Questo terreno è critico perché le app sono esposte più di altri oggetti digitali alla possibilità di cyberattacchi. Per questo l’attenzione dei fornitori del servizio di ricarica dev’essere massima per quanto riguarda uno strumento sempre più privilegiato dagli utenti».
Puntare sulla security by design
Esistono anche delle buone pratiche per l’effettiva messa in sicurezza anticrimine delle colonnine di ricarica. «Non solo chi fornisce e gestisce il servizio di ricarica è tenuto ad adottare le opportune misure di sicurezza, ma anche gli utenti possono fare qualcosa di utile per proteggersi, cominciando per esempio dall’aggiornamento delle app e dei software dei punti di ricarica privati quando necessario - suggerisce Brusaferro - Inoltre, è sempre buona regola conservare informazioni sensibili come i dati di accesso al servizio in punti ben protetti, magari in dispositivi di storage diversi da computer, smartphone e cloud, e da aprire solo quando non si è connessi alla rete».
Anche in questo caso, la chiave di volta è la collaborazione e la sinergia tra i diversi attori del settore. «La protezione dell’ecosistema di mobilità elettrica è, appunto, un’esigenza di sistema e non solo delle singole aziende che forniscono energia o costruiscono i veicoli. In quanto oggetti connessi, le colonnine (e le auto) sono potenziali punti di ingresso in un mondo che apre innumerevoli strade ai cyber criminali, portandoli eventualmente a colpire chiunque, e non solo chi è direttamente coinvolto da un business sempre più cruciale per il nostro futuro».
A proposito di attori impegnati a raggiungere l’obiettivo comune della sicurezza, cosa possono fare a loro volta installatori, progettisti e integratori di sistemi per garantire al settore gli adeguati standard di cybersecurity in un’ottica di ecosistema?
«I produttori possono compiere due importanti passi sul fronte della sicurezza delle colonnine di ricarica. Il primo va compiuto sul terreno dell’awareness, sviluppando una consapevolezza del rischio che li porti a maturare l’opportuna e necessaria sensibilità verso la cybersecurity, quindi a realizzare prodotti il più possibile schermati contro eventuali attacchi. Qui entra in gioco il secondo, fondamentale passo: lavorare sulla security by design, tramite un approccio che metta la sicurezza al primo posto nella fase di progetto del prodotto e in quella di verifica delle componenti hardware e software, anche coinvolgendo partner affidabili in fase di test preliminari» conclude Brusaferro.
