Auto connessa e sicurezza: dai rischi al corretto trattamento dei dati | Economyup

TRASFORMAZIONE DIGITALE

Auto connessa e sicurezza: dai rischi al corretto trattamento dei dati



Auto connessa e sicurezza è un tema fondamentale quando parliamo di trasformazione digitale nel settore automotive. Quali rischi corriamo? Come trattare correttamente i dati? Tutte le risposte

20 Feb 2020


Condividere i dati sul traffico, suggerire deviazioni al percorso in modo da saltare le code, accendere l’aria condizionata qualche minuto prima di salire a bordo, fornire un servizio di concierge: sono alcune delle caratteristiche della connected car, una delle sfide maggiori per l’industria automotive. Ma c’è un ma che da sempre assilla i player del settore: il binomio auto connessa e sicurezza. CyberSecurity 360 ha fatto il punto sul problema della sicurezza e del corretto trattamento dei dati nella connected car partendo dalle linee guida pubblicate dall’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) e dall’European Data Protection Board (EDPB).

Connected car: che cos’è, che cosa può fare (anche in caso di incidente), quali vantaggi ha

Auto connessa e sicurezza: i rischi che possiamo correre

Partiamo dal linee guida diffuse da ENISA (qui puoi leggere la versione completa), ente – ricorda agenda digitale – cui compete la sicurezza informatica e non la privacy, motivo per cui il report si focalizza maggiormente su come proteggere i dati da minacce esterne. L’ente, infatti, esamina i principali problemi di sicurezza nell’utilizzo delle smart car e fa distinzione tra dati telematici, dati di comunicazione con esterno e dati di infotainment. Risultano ad alto rischio – ricorda Agenda Digitale  – strumenti comuni come le app stile Car play. A tal proposito il report evidenzia come forzando queste applicazioni per sistemi di bordo un utente malintenzionato possa ordinare a un’auto di guidarlo da qualche parte, anche se non gli è permesso farlo.   Non solo, il report evidenzia come anche eventuali attacchi ai server remoti (a cui potrebbe attingere la vettura per prendere decisioni) potrebbero influenzare il comportamento delle auto. Esistono diversi scenari di attacco riguardanti server remoti. Ad esempio, un utente malintenzionato potrebbe compromettere i dati della mappa con l’obiettivo di influire sui controlli di plausibilità o persino modificare i dati sulle condizioni del traffico per modificare l’attuale itinerario dell’auto con conseguente servizio inefficiente.

Leggi tutti gli articoli sull’auto connessa

La mancanza di trasparenza da parte dei produttori di automobili

Cyber Security 360, in un articolo a firma dell’avvocata Diego Dimalta, pone l’accento su un altro problema, quello della privacy. In un report dell’European Data Protection Board (qui puoi leggerlo in versione completa) emerge infatti un’importante mancanza di trasparenza da parte dei produttori di automobili.

L’informativa ex art. 13 GDPR – spiega l’avvocato nell’articolo di Cyber Security 360 – non viene fornita quasi mai e, qualora fornita, il momento scelto per tale incombenza è la firma del contratto d’acquisto dell’auto, con la conseguenza che, di fatto, solo all’ultimo momento il proprietario viene messo in condizione di leggere il documento.

Un problema, evidenziano i Garanti europei, di non poca rilevanza in quanto la vettura spesso tratta dati di soggetti diversi dal proprietario. Questi interrogativi portano il Board europeo a ritenere necessaria una soluzione che preveda la presentazione dell’informativa mediante l’utilizzo del computer di bordo.

Per quanto riguarda il consenso all’uso dei dati, questo dovrebbe essere domandato a tutti i soggetti presenti in auto, cosa che però non può essere risolta dal computer di bordo. Trovare una soluzione non è semplice. Potremmo ritenere consigliabile – puntualizza l’avvocato – inserire uno schermo di bordo davanti ad ogni seduta (come in aereo) con la possibilità di rilasciare informative e di raccogliere il consenso anche se, in ogni caso, si tratterebbe comunque di un consenso di bassa qualità e ciò in quanto difficilmente sarebbe possibile conciliare la richiesta di identificazione del prestatore di consenso, con le necessità di speditezza tipiche dell’automobile”.

Auto connessa e sicurezza, il corretto trattamento dei dati

Gli studi sull’argomento hanno finora differenziato le diverse categorie di dati: dati di contesto, dati di veicolo e dati utente

Secondo l’avvocato Dimalta, l’European Data Protection Board fa un passo ulteriore evidenziando come non sia possibile escludere a priori i dati di contesto e di veicolo dalla categoria dei dati personali così definita dal GDPR e ciò in quanto, talvolta, un semplice dato esterno può fornire informazioni sul guidatore.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Ad esempio, i dati tecnici relativi ai movimenti del veicolo (ad es. velocità, distanza percorsa) sono molto impattanti in quanto sono potenzialmente idonei a rivelare il luogo di lavoro e di residenza di un soggetto, nonché i centri di interesse (tempo libero), potendo altresì rivelare informazioni sensibili come la religione (attraverso il luogo di culto) o l’orientamento sessuale attraverso i luoghi visitati.

Smart car, tutto quello che c’è da sapere: cos’è, cosa può fare, come rendere intelligente un’auto

Di conseguenza, secondo i Garanti, il costruttore del veicolo e il fornitore dei servizi devono essere particolarmente attenti a non raccogliere, ad esempio, dati sulla posizione, tranne quando ciò risulti assolutamente necessario ai fini del trattamento.

Ecco dunque i suggerimenti pratici sulle modalità con cui minimizzare il trattamento dei dati di geolocalizzazione:

  1. adeguare la frequenza di accesso e il grado di precisione dei dati raccolti (così da poter individuare la zona dove si trova l’auto, senza individuare esattamente la posizione, capace di rivelare informazioni superflue);
  2. fornire informazioni accurate sullo scopo del trattamento (ad es., viene memorizzata la cronologia della geolocalizzazione? In caso affermativo, qual è il suo scopo?);
  3. attivare la geolocalizzazione solo dove necessaria;
  4. consentire la disattivazione della geolocalizzazione.

È necessario dunque, come auspicato anche da ENISA, un ripensamento generale del modo di vivere ed utilizzare la vettura. La tecnologia deve essere pensata per essere compliant “by design”.

In tal senso, il protagonista principale di questo cambiamento dovrà essere sicuramente il computer di bordo ma anche i programmatori dei vari algoritmi avranno un ruolo fondamentale in quanto dovranno rispettare le indicazioni fornite in materia di trattamenti di dati interni ed esterni al veicolo.

I punti deboli dell’auto connessa

L’intervento pubblicato da Cyber Security 360 si collega a un altro problema dell’auto connessa di cui avevamo già parlato in questo articolo: il rischio che l’auto connessa possa essere hackerata. i controlli delle auto stanno diventando sistemi cyber-fisici sempre più complessi con sensori multipli, controlli, applicazioni, subnet e moduli di comunicazione che interagiscono con altri veicoli e il loro ambiente. Le loro funzioni possono essere controllate da remoto e tramite sistemi digitali. Per questo motivo, le auto connesse stanno diventando bersaglio di attacchi informatici. 

In queste infografiche di KasperSky Lab sono evidenziati tutti i punti hackerabili di un’autovettura e come attivarsi per renderli a prova di hacker.