Le connected car non sono costruite per essere a prova di attacco hacker: i costruttori d’auto devono ancora imparare a considerare il loro prodotto un software da testare e aggiornare costantemente e non sempre tengono il passo con minacce informatiche in continua evoluzione. L’allarme arriva da uno studio realizzato del Ponemon Institute, istituto statunitense di ricerca sulla protezione dei dati personali, e commissionato dalle società di cybersecurity Sae International e Synopsys. Il report ha esaminato le pratiche seguite dall’industria automobilistica in fatto di protezione delle auto connesse e dei dati degli utenti ed è stato realizzato sulla base di 593 questionari sottoposti a professionisti It, sviluppatori di prodotto e ingegneri dell’industria automotive.
Il 52% ha detto di essere consapevole del “potenziale danno agli automobilisti di tecnologie automotive non sicure”, ma il 69% si sente “privo del potere necessario” per affrontare tali problematiche. L’84% si definisce preoccupato dal fatto che i costruttori d’auto sono impegnati a dotare i loro modelli di funzionalità moderne come sistemi di infotainment, opzioni di guida assistita, wifi e connessioni cellulari, ma le loro pratiche di cybersecurity non tengono il passo con l’evoluzione delle tecnologie e delle minacce; il 63% svela addirittura che la propria azienda testa meno della metà di hardware, software e altre tecnologie per verificare e le vulnerabilità.
I costruttori non possiedono le risorse per combattere le minacce, secondo il sondaggio: il 62% degli intervistati dice che la propria impresa non ha le competenze in cybersecurity necessarie per proteggere i propri prodotti; la tipica azienda automotive ha appena nove dipendenti che si occupano a tempo pieno di cybersecurity e il 30% non ha alcun team preposto alla sicurezza cibernetica.
Il 73% degli intervistati si dice inoltre preoccupato dalla sicurezza dell’intera supply chain dell’industria dell’auto, che si avvale di fornitori indipendenti da cui vengono acquistate componenti hardware e software; solo il 44% dei rispondenti dice che la propria azienda richiede certificazioni di sicurezza ai vendor.
“Un numero crescente di veicoli connessi gira per le strade e le vulnerabilità software possono permettere l’accesso ad hacker e malintenzionati che usano reti cellulari, wifi e connessioni fisiche”, si legge nello studio del Ponemon Institute. Non tenere conto di questi rischi è un errore dalle conseguenze potenzialmente pesanti, aggiunge il report, perché si andrebbe a colpire la fiducia dei consumatori nell’auto connessa, la reputazione dei marchi e, soprattutto, la privacy.
Tecnologie di radiofrequenza come wifi e Bluetooth sono in cima alla lista delle applicazioni più vulnerabili (le cita il 63% del campione), seguite da telematica (60%) e funzionalità driverless (58%). Gli intervistati hanno anche indicato che molte vulnerabilità dipendono dalla fretta dei costruttori di portare prodotti nuovi sul mercato (71%) con conseguenti errori accidentali nel coding (53%) e mancanze nelle procedure di test e verifica della qualità del prodotto (50%).
L’industria automobilistica, secondo gli esperti, è lenta nell’abbracciare il nuovo paradigma dell’auto connessa che fa del veicolo un prodotto software connesso a Internet: è qui la debolezza che gli hacker possono sfruttare, come sottolinea Art Dahnert, automotive security practice lead di Synopsis. Il nodo delle competenze è fondamentale, continua Dahnert: le aziende dell’auto dovrebbero assumere esperti di cybersicurezza che comprendono le nuove tematiche legate alla connected car e aiutino a formare il resto del personale.
Chris Clark, principal security engineer at Synopsys, aggiunge: i dati portati alla luce dal sondaggio dovrebbero fornire il punto di partenza per le case automobilistiche per introdurre miglioramenti nelle pratiche legate alla cybersicurezza dei veicoli connessi. La maggiore sfida della sicurezza è gestire il ciclo di vita del software e l’integrazione di sistemi diversi: mettere al sicuro l’auto connessa è un processo che non si ferma alla fabbrica, ma deve far leva su test e aggiornamenti continui.