Auto e cybersecurity: come fare i test di sicurezza ovunque

CONNECTED CAR

Auto connesse e cybersecurity: come fare i test di sicurezza con uno strumento portatile



Auto e cybersecurity: effettuare un penetration testing è tanto importante quanto complicato. Ma ci sono sistemi alternativi: Sababa security ha sviluppato Automotive Testbed, un’apparecchiatura che riproduce l’architettura standard di un veicolo, racchiusa in un supporto portatile

16 Nov 2022

Auto e cybersecurity

L’auto connessa è uno dei grandi trend del settore, ma dotarla di un software solido e sicuro non è facile. Perché un sistema connesso sia pronto ad essere lanciato sul mercato, è essenziale passare per le necessarie procedure di penetration test e vulnerability assessment per completare completare il cybersecurity assessment del software da montare su veicolo. Il problema? Effettuare un penetration testing in campo automotive è tanto importante quanto complicato, a causa della scarsa disponibilità e dell’elevato costo dei componenti e delle architetture dei veicoli.

Per ovviare a questa limitazione, Sababa Security ha sviluppato l’Automotive Testbed: presentato in occasione all’ottava edizione della CSET Conference, conferenza dedicata alla sicurezza informatica delle infrastrutture critiche di Energia e Trasporto, si tratta di un’apparecchiatura che riproduce l’architettura standard di un veicolo, racchiusa in un supporto portatile.

Vediamo di cosa si tratta.

Auto connesse, il problema della cybersecurity

“L’automotive è un settore particolarmente interessante con un mercato che prevede un aumento del 134% dei veicoli connessi a livello globale, da 330 milioni nel 2018 a 775 milioni nel 2023. I moderni veicoli sono sistemi computerizzati dotati di infinite funzionalità volte ad assistere il conducente, garantire la sicurezza ed offrire intrattenimento. Il continuo aumento delle interfacce utente e delle connessioni cloud sta notevolmente ampliando la superficie di attacco dei veicoli, rendendoli bersagli sempre più interessanti per gli hacker” spiega Alessio Aceti, CEO di Sababa Security.

WHITEPAPER
Pharma: come gestire grandi volumi di dati eterogenei e non strutturati?

“Per dare un’idea della dimensione del problema, basta pensare che entro il 2025, ogni auto connessa produrrà 25 GB di dati all’ora e fino a 500 GB se completamente autonoma. Sababa ha voluto cogliere questa sfida studiando un roster di prodotti per assistere gli OEM, i fornitori e gli operatori dell’aftermarket a conformarsi alle normative in campo automotive, garantendo la realizzazione di veicoli sicuri dal punto di vista informatico, la gestione dei dati, la distribuzione degli aggiornamenti e la mitigazione tempestiva delle minacce”.

Uno strumento portatile per testare la cybersecurity delle auto connesse

L’obiettivo del progetto è fornire alle case automobilistiche ed ai fornitori uno strumento leggero e alla mano.

Sviluppato da Sababa Security, operatore italiano nel settore della cybersecurity che fornisce un’offerta integrata e personalizzata di prodotti e servizi gestiti per proteggere i diversi ambienti IT e OT dalle minacce informatiche, l’Automotive Testbed è utilizzabile sia come strumento di formazione per i pentester su quanto richiesto dalle nuove normative UNECE R155 e R156, sia per testare nuovi protocolli di comunicazione V2V (Vehicle-to-Vehicle) e V2I (Vehicle-to-Infrastructure), con la possibilità di realizzare versioni personalizzate con apparecchiature proprietarie dei clienti.

auto cybersecurity
Il team di Sababa Security con l’Automotive Testbed

Come funziona l’Automotive Testbed

Lo strumento comprende un’architettura a più centraline ECU/TCU, un secure gateway, un CAN bus, interruttori e attuatori che riproducono i comandi di guida standard e gli indicatori dell’abitacolo, come lo sterzo, l’accelerazione, la frenata, i fari e così via, con una porta OBD-II per interagire con il sistema.

Il portfolio di Sababa Security per garantire la cybersecurity nel settore auto comprende inoltre un pacchetto completo di prodotti e servizi studiato, testato e dedicato esclusivamente al settore dell’auto.
–     Automotive Assessment & Compliance: assiste gli OEM, i loro fornitori e altre aziende del settore ad essere conformi sia alle normative specifiche sulla cybersecurity in campo automotive, come ISO/SAE 21434, UNECE R155-156, IEC 62443, sia a quelle più generiche, come il NIST CSF e il National Cybersecurity Framework.
–     Automotive Security Consulting: assiste gli OEM per garantire, nell’ambito della normativa UNECE R155, la sicurezza dei siti di produzione dei veicoli.

  1. Automotive Training: un insieme di programmi di formazione finalizzati allo sviluppo di competenze specifiche in materia di automotive cybersecurity tra i professionisti interni dell’azienda cliente.
  2. Automotive Analysis of Compromise: fornisce ai produttori di veicoli un’analisi approfondita per valutare se le misure di sicurezza informatica implementate sono efficaci nel resistere alle emergenti minacce informatiche e alle vulnerabilità rilevate.
  3. Automotive Penetration Testing: l’introduzione di nuovi standard di conformità – come l’UNECE R155-156 – obbliga i produttori del mercato automotive e gli sviluppatori di sistemi a condurre attività di penetration test dei sistemi stessi nonché degli interi veicoli. Gli esperti di Sababa verificano nel concreto se un veicolo, i suoi componenti e le relative infrastrutture sono sicuri dal punto di vista informatico, conformemente alla normativa vigente.