Euro 7 comincia a introdurre, nel proprio specifico ambito, i temi della cybersecurity. Rimandando però a norme che sono decisamente più estese.
Autore: Redazione SecurityOpenLab
In ambito Automotive, gli standard UE sono considerati prevalentemente dal punto di vista della sicurezza e della riduzione delle emissioni nocive. D'altronde, è proprio a questo scopo che sono stati creati e sviluppati. In realtà, però, sempre più comprendono articoli e sezioni che hanno collegamenti con la cybersecurity, per adattarsi a uno scenario in cui la "quota digitale" degli autoveicoli sta crescendo sensibilmente.
Lo standard Euro 7, che salvo sorprese entrerà in vigore il prossimo novembre, elenca una serie di dispositivi a bordo veicolo che vanno considerati anche in una ottica di sicurezza digitale. In particolare, si parla dei sistemi cosidetti OBD (On-Board Diagnostic), OBM (On-Board Monitoring), OBFCM (On-Board Fuel and Electric Energy Consumption Monitoring). Tutti questi sistemi raccolgono dati di funzionamento di un veicolo e delle sue varie parti, analizzandoli e trasmettendoli verso l'esterno. E i costruttori di veicoli dovranno "ridurre al minimo le vulnerabilità che potrebbero verificarsi in tutte le fasi del ciclo di vita dei veicoli, e che potrebbero permettere manomissioni" anche di sistemi come questi.
È anche descritta una vera e propria parte di vulnerability management e di patching, la quale presuppone la possibilità di "attacchi" esterni. "I costruttori - spiega lo standard - prevengono le possibilità di sfruttamento delle vulnerabilità (...) nella massima misura possibile, sulla base delle migliori conoscenze disponibili al momento dell'omologazione. Quando viene individuata una tale vulnerabilità, i costruttori adottano tutte le misure possibili, tenuto conto dello stato della tecnologia, per eliminarla, mediante un aggiornamento del software o qualsiasi altro mezzo adeguato".
A leggere lo standard Euro 7 sembra che a preoccupare gli estensori non sia la possibilità che i veicoli vengano "craccati" da threat actor esterni che ne vogliono prendere il controllo ma, più che altro, l'idea che i sistemi di monitoraggio di un veicolo siano manomessi a scopo di frode, ad esempio per farlo apparire meno inquinante (e qui c'è ancora una eco del lontano Dieselgate) o per ridurre il chilometraggio percorso. In buona parte questa considerazione è vera, ma non bisogna essere troppo superficiali.
A mettere sull'avviso i costruttori di veicoli è un piccolo comma (l'11) di un singolo articolo (il 4): "I costruttori garantiscono la sicurezza della trasmissione dei dati relativi alle emissioni e alla durabilità della batteria adottando misure di cibersicurezza in conformità del regolamento ONU n.155". E qui si apre un mondo, perché il regolamento indicato è ampio ed articolato quanto lascia intendere la sua denominazione estesa: "Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system".
Sembra tanto per una norma che dovrebbe preoccuparsi praticamente solo dell'inquinamento. E in fondo la cybersecurity è citata solo riferendosi alla gestione di alcuni dati tecnici. Vero. Ma è l'approccio che conta. Già lo standard Euro 7 inizia ad andare oltre l'ambito specifico delle emissioni per comprendere anche scenari di smart mobility. In particolare la possibilità che un veicolo si arresti da solo se le batterie di trazione sono quasi esaurita, non sono state ricaricate entro 5 chilometri da un primo avvertimento e il veicolo è in una zona ad emissioni zero (si attivano per questo specifiche funzioni di geofencing).
Il punto importante è che la cybersecurity dei veicoli non si può concepire a silos. La gestione dei dati "da Euro 7" deve fare parte di una visione della sicurezza più estesa, tanto che nella norma ONU richiamata da Euro 7 si parla dell'obbligo di realizzare un CSMS (Cyber Security Management System), descritto come "un approccio sistematico basato sul rischio che definisce processi organizzativi, responsabilità e governance per trattare i rischi associati alle minacce cyber e proteggerli da cyber-attacchi". E qui il linguaggio è pienamente quello della cybersecurity che ben conosciamo.
Le aziende dell'Automotive conoscono bene, e da anni, i rischi della cybersecurity e dei pericoli che corrono i veicoli connnessi. La differenza rispetto al passato è che oggi il livello generale dell'attenzione su questi temi è molto più elevato. E che gli organismi internazionali hanno sempre più l'intenzione di definire veri e propri percorsi mirati di certificazione - il regolamento ONU parla esplicitamente di un Certificate of Compliance for Cyber Security Management System, con tanto di marchio ufficiale - l'efficacia delle misure di protezione che, prima, i produttori potevano limitarsi ad auto-certificare.
E lo scenario dei possibili rischi e vulnerabilità cyber per i veicoli è stato già messo ampiamente nero su bianco: proprio il regolamento 155 ha un ricco Allegato 5 che descrive ben 32 possibili macro-minacce a cui un produttore di veicoli deve fare fronte. Gli ambiti riguardano i suoi server di back-end, i canali di comunicazione da e verso i veicoli connessi, le procedure di aggiornamento dei software a bordo, l'esfiltrazione di dati e codice software, la compromissione delle supply chain e molto, molto altro.
La principale preoccupazione, a questo punto, è che diversi produttori di veicoli non siano ancora pronti a una gestione così trasversale della cybersecurity. Le classiche case automobilistiche quasi certamente lo sono, dato che le moderne vetture sono sempre più oggetti smart e connessi. E dato che la cronaca della cybersecurity li ha già visti spiacevolmente protagonisti. Il dubbio riguarda semmai i produttori di veicoli pesanti e industriali, per i quali la sicurezza digitale sinora non è stato un problema davvero rilevante.