Sababa ha riacceso i riflettori sulla sicurezza automotive e OT con un evento in cui ha illustrato la propria offerta, che risponde alle esigenze specifiche dell’Industria 4.0 e delle smart car. Sono due ambiti legati a stretto giro, ed è semplice capirne il motivo: come sottolinea Omar Morando, CTO di Sababa Security, l’obiettivo a cui sono chiamati per normativa i produttori di veicoli è garantire il ciclo di vita del veicolo in ogni sua parte, a partire da una progettazione secure by design fino all’arresto sicuro del ciclo di produzione.

Questa esigenza aumenta man mano che la tecnologia evolve, perché più si ampliano le interconnessioni più si allarga la superficie di rischio. I computer di bordo sono passati dall’essere strumenti per la diagnostica a essere centri connessi con smartphone e altri dispositivi del proprietario. Si stanno aggiungendo la guida autonoma o semi autonoma, che presuppone una interfaccia vehicle-to-vehicle e fra il veicolo e l’infrastruttura stradale. Nel caso dell’elettrico, è necessaria anche l’interfaccia fra il veicolo e l’infrastruttura delle colonnine di ricarica.

È chiaro che la tendenza è l’introduzione progressiva di nuove tipologie di trasporti iperconnesse, che apportano molti vantaggi ma al contempo espandono la superficie di rischio. Per questo è necessario che il dispositivo connesso sia sicuro. Per ottenere questo obiettivo occorre che tutti i suoi componenti non possano essere attaccabili: le centraline, i radar, i sensori, tutto dev’essere sicuro. Questo si può ottenere solo mediante un controllo serrato sugli impianti di produzione, che è poi il legame fra smart car e OT.

Automotive Testbed e SOC

Compreso il problema, Sababa ha un suo approccio per arrivare alla soluzione. Si tratta di un servizio automotive e OT indirizzato sia ai produttori che ai fornitori di componenti di automobili. Viene erogato da un team di esperti del mondo automotive e industrial cybersecurity, profondi conoscitori delle normative del settore.

Tramite strumenti sviluppati da Sababa che vedremo più avanti, offrono ai clienti servizi di consulenza hardware e software, attività di assessment e penetration test sui singoli componenti dei veicoli, sull’intero veicolo e sull’intera infrastruttura. Le attività includono anche analisi di compromissione, monitoraggio costante in tempo reale dell’esposizione al rischio, formazione.

Lo scopo di queste attività è accompagnare i clienti (sia produttori di autoveicoli che i loro fornitori) nella gestione del cybersecurity management system, nella valutazione del rischio e dell’impatto dei rischi e nel monitoraggio costante dell’infrastruttura produttiva. Inoltre, dare ai clienti stessi la possibilità di toccare con mano i punti di debolezza mediante dimostrazioni pratiche.

Tali attività si possono svolgere grazie al Sababa Automotive Testbed, un laboratorio portatile che è in grado di emulare il comportamento di diverse marche e modelli di veicoli, così da consentire sia l’esecuzione di corsi di formazione, sia pentest, validazione di componenti e di soluzioni after market, e molto altro. Grazie alla sua versatilità, questa soluzione promette un notevole risparmio di tempo e denaro nell’allestimento di piattaforme per le attività elencate.

Il prototipo di questo dispositivo portatile è stato lanciato a fine 2022 e la versione definitiva sarà rilasciata al pubblico entro quest’anno. Il prossimo anno sono previsti aggiornamenti con l’ampliamento delle funzioni, che vedrà l’esordio della comunicazione del veicolo con l’infrastruttura esterna e con altri veicoli (vehicle to vehicle).

Come accennato, il secondo obiettivo è la capacità del costruttore di automobili (richiesta per normativa) di individuare in tempo reale se il veicolo è sotto attacco, e intervenire tempestivamente per limitare le compromissioni. Sababa reputa che l’unico modo per ottenere questo sia gestire ogni veicolo come un endpoint, mediante un SOC con la capacità di monitoraggio 24 ore su 24, 7 giorni su 7.

Questa parte è stata l’oggetto dell’intervento di Stefano Brusaferro, Sales & Marketing Director di HWG, che ha spiegato innanzi tutto la differenza fra un SOC IT (dove l’obiettivo è proteggere le macchine) e il SOC a cui è deputata la sicurezza dei veicoli, che chiama in causa direttamente la sicurezza delle persone.

Il lavoro è complesso per diversi aspetti. Prima di tutto la protezione di un autoveicolo non inizia quando questo si immette su strada, ma quando viene progettato e costruito. In mancanza dell’applicazione del concetto di security by design non sarà possibile essere presenti su tutto il ciclo di vita del veicolo per garantirne la sicurezza.

In secondo luogo, analogamente a quello degli endopint informatici, un SOC per l’automotive deve monitorare e correlare diversi tipi di dati per restituire all’analista informazioni significative e rilevanti per la security. Il guaio, nel caso delle auto, è quali dati collezionare, perché le informazioni provenienti dal veicolo non sono tutte necessarie ai fini della security. Occorre quindi un forte impiego di ML e AI per costruire delle baseline tramite cui distinguere le attività malevole e le potenziali compromissioni da quelle lecite o innocue.

L’altra enorme differenza fra un SOC IT e uno per l’automotive è la mole di dati da gestire. Pensiamo al numero di veicoli presenti su strada e al numero di quelli nuovi che vengono acquistati quotidianamente, non programmabile a priori. Collezionare informazioni è un problema di per sé enorme, e lo è ancora di più se software e hardware del veicolo non si possono connettere al SOC per mancanze dell’OEM e dell’ampia catena di fornitori di terze parti che hanno realizzato i singoli componenti (torna la questione del secure by design).

Ultimo aspetto è gestire la lunghezza del ciclo di vita dei componenti, che possono restare in uso per 10-15 anni: un arco di tempo in cui cambiano completamente tecnologie, tipologie di attacchi, fornitori e altro. La sfida che si prefigge di vincere Sababa con la automotive security è ardua, soprattutto perché si muove in un ambiente in gran parte inesplorato. Ma una cosa è certa: la security dei veicoli è ormai indispensabile, quindi ben venga l’impegno utile a realizzarla.