CSI Automotive: al via i nuovi servizi di cyber sicurezza e software security by design per le auto connesse

Milano, 17 maggio 2021 – CSI SpA, centro di eccellenza europeo, grazie alla business unit Automotive, nel campo della sperimentazione e testing del veicolo e dei suoi sistemi e componenti, completa l'offerta con un pacchetto di servizi dedicati anche alla cyber sicurezza, in particolare delle auto digitalizzate e connesse.

La connettività dei veicoli è uno dei maggiori trend in atto e le case automobilistiche la stanno sempre più implementando con l’offerta di un numero crescente di device e servizi “smart”, realizzati anche per andare incontro alla domanda degli automobilisti. Oggi, un’auto è un computer articolato nel quale, sotto il cofano, lavorano fino a 150 unità elettroniche (ECU): per questo si parla sempre di più di “auto hackerata”, invece che rubata. Ne consegue un’attenzione crescente ai fattori di vulnerabilità e la necessità di implementare un nuovo aspetto, quello della "Cyber Security by Design". Proprio in questo contesto si colloca la Regulation UN ECE 155, la proposta di standard europeo per la gestione della cyber security per l’automotive che diventerà obbligatoria in Europa a partire dal 6 luglio 2022 per le nuove omologazioni e a partire dal 7 luglio 2024 per tutti i veicoli di nuova immatricolazione.

“Gli aspetti di cyber security non sono semplicemente un requisito aggiuntivo da garantire”, commenta l’ing. Fausto Mozzarelli, Direttore della Automotive Business Unit di CSI S.p.A. “In questo momento, ma sempre più in futuro, la sicurezza dei software on board è e sarà la condizione irrinunciabile per garantire l’efficacia degli altri requisiti di sicurezza e funzionalità richieste alla vettura. Per questo ci siamo organizzati e stiamo già lavorando al cyber testing sulle nuove vetture e sulla relativa componentistica”.

CSI Automotive, grazie all’integrazione delle competenze di IMQ Minded Security, società specializzata nella security by design entrata recentemente a far parte del Gruppo IMQ, propone un approccio olistico alla sicurezza con servizi innovativi di testing anche nel campo dell’automotive cyber security:

• Architecture Threat Modeling - supporto alla revisione dell'architettura con una valutazione di modellazione delle minacce
• Secure Design - attività di revisione del design dei componenti software al fine di identificare i difetti di progettazione che possono essere sfruttati per attaccare la logica dell'applicazione
• Secure Requirements - realizzazione delle linee guida di sviluppo sicuro per tutti i framework utilizzati nel corso della realizzazione del software
• Secure Assessment - verifiche di sicurezza che riguardano attività di Penetration testing, Runtime analysis and fuzz testing, Manual Secure Code Review e Mobile Security Assessment
• Supporto al fixing – attività volte a garantire un’efficace implementazione delle contromisure alle vulnerabilità identificate
• Formazione - al fine di migliorare la cultura della sicurezza in azienda, necessaria per realizzare software sempre più sicuri.

“I test sulle vetture ‘moderne’ dovranno richiedere sempre più un approccio olistico, che consideri come componenti integranti tutti gli aspetti di sicurezza che coinvolgono i passeggeri delle vetture e gli utenti delle strade”, aggiunge l’ing. Mozzarelli.
È con questa consapevolezza e obiettivo che CSI Automotive sta lavorando nel proprio centro tecnologico di testing e certificazione, operando sia come laboratorio EuroNCAP, per i rating di sicurezza, sia come membro del gruppo di lavoro del consorzio GreenNCAP, per il rating di impatto ambientale.

Car Hacking – quello c’è da sapere nella nuova sfida delle auto connesse
I punti di accesso (detti anche “superficie di attacco”) di una smart car si possono dividere in 3 aree a seconda della distanza dall’attaccante rispetto alla macchina:

• accesso fisico all’auto tramite l’interfaccia OBD (On-Board Diagnostics), presente sulle auto per motivi di diagnostica e raccolta di informazioni per cui è possibile interagire con tutte le unità elettroniche e quindi con tutte le funzionalità automatizzate realizzate
• short-range distance, di cui fanno parte il sistema passivo dell’antifurto (10 cm), il sistema di lettura della pressione degli pneumatici (1m), i sistemi Keyless per apertura e start engine (5-20 m) e tutti i sistemi connessi via bluetooth (10 m)
• long-range distance rappresentato da radio data system, sistemi di comunicazione Wi-Fi o 4/5G e Internet App realizzate per gestire l’auto.

Tutte queste interfacce possono essere utilizzate per perpetrare attacchi al software che gestisce tutti i servizi dell’auto al fine di prenderne il controllo. Ogni singolo comando implementato dall’auto in maniera non meccanica può essere compromesso e i rischi possono comportare da un furto di informazioni personali, registrazione della voce e identificazione dei tragitti impostati sul navigatore, a compromissione della sicurezza fisica dei passeggeri e altri utenti della strada attraverso modifiche della velocità della macchina, o modifiche della distanza della macchina da un veicolo che lo precede alterando le funzioni di accelerazione/freno.

Dalla garanzia di sicurezza digitale dipendono sempre di più le funzionalità della sicurezza passiva (mitigazione degli effetti di un urto) e di quella attiva (prevenzione degli incidenti), nonché le prestazioni di efficienza ed emissioni da cui dipendono gli impatti ambientali.

Per questo, la sicurezza informatica deve entrare nell’auto sin dalla sua progettazione “by design” e seguire l’automobilista in tutte le fasi. “Questo include anche il supporto al cliente. Nei punti di assistenza verranno richieste maggiori competenze in IT, elettronica e sicurezza, anche in termini di rispetto dei requisiti di privacy. Ecco perché sarà fondamentale una sempre maggiore specializzazione nelle tematiche cyber e big data”, conclude l’ing. Mozzarelli.


CSI S.p.A.
Società del Gruppo IMQ, CSI è un Centro di Certificazione e Analisi comportamentale, che è attivo su un mercato molto diversificato e opera su fronti ad elevata barriera di ingresso per Know-How e per investimenti quali il settore Automotive, Food, Packaging, Costruzioni.
www.csi-spa.com - info@csi-spa.com

IMQ Group
Il Gruppo IMQ rappresenta una delle più importanti realtà italiane nel settore della valutazione della conformità (certificazione, prove, verifiche, ispezioni). Forte della sinergia tra le società che lo compongono, dell'autorevolezza acquisita in 70 anni di esperienza, della completezza dei servizi offerti, il Gruppo IMQ si pone infatti come punto di riferimento e partner delle aziende che hanno come obiettivo la sicurezza, la qualità e la crescita sostenibile.
Il Gruppo IMQ è attualmente composto da una holding (IMQ Group S.r.l) e da 11 società operative, di cui quattro in italia - IMQ S.p.A., CSI S.p.A., IMQ Intuity S.r.l, IMQ Minded Secuity S.r.l. – e sette all’estero: IMQ CSI Deutschland GmbH (Germania), IMQ Iberica S.L. (Spagna), IMQ Tecnocrea S.L. (Spagna), IMQ Polska Sp. z o.o. (Polonia), IMQ Certification (Shanghai) Co. Ltd. (Cina), IMQ Turkey (Turchia), IMQ Gulf FZCo (Emirati Arabi Uniti).
www.imqgroup.eu