Cybersecurity: la nuova dimensione della qualità nel settore automotive

Le moderne auto computerizzate richiedono una piattaforma dall’approccio secure-by-design. Ed è proprio quello che abbiamo ideato.

In molti pensano che l’automobile del XXI secolo sia ancora un dispositivo meccanico. Certo, è stata introdotta l’elettronica per gestire alcune situazioni ma in fin dei conti è comunque un’opera di ingegneria meccanica: telaio, motore, ruote, volante, pedali… nell’elettronica, persino i computer, si limitano ad agevolare tutte le funzionalità meccaniche. Devono farlo, dopotutto, i cruscotti di questi tempi sono un mare di display digitali, con pochi quadranti analogici da vedere.

Beh, lasciate che vi dica una cosa: non è così!

Un’auto oggi è fondamentalmente un computer specializzato, un “cyber-cervello” che controlla la meccanica e l’elettricità che tradizionalmente associamo alla parola “auto”: il motore, i freni, gli indicatori di direzione, i tergicristalli, l’aria condizionata e tutto il resto.

In passato, per esempio, il freno a mano era meccanico al 100%. Lo si tirava, con la “mano” (immaginate?!) e faceva una specie di rumore da meccanico. Oggi si preme un pulsante. 0% meccanico. 100% computerizzato. Ed è così con quasi tutto.

Ora, la maggior parte delle persone pensa che in un’auto senza conducente sia un computer che guida la macchina. Ma se oggi c’è un umano al volante di una nuova auto, allora è l’umano che guida (non un computer), “certo, normale!”

Rieccoci di nuovo…: neanche questo è vero!

Con la maggior parte delle auto di oggi, l’unica differenza tra quelle senza conducente e quelle che sono guidate da un umano è che in quest’ultimo caso l’uomo controlla il computer di bordo. Mentre nel primo caso, i computer di tutta l’auto sono controllati da un altro computer principale, centrale, molto intelligente, sviluppato da aziende come  GoogleYandexBaidu e Cognitive Technologies. A questo computer viene data la destinazione, osserva tutto quello che succede intorno e poi decide come navigare verso la destinazione, a quale velocità, con quale percorso e così via, basandosi su algoritmi mega-smart, aggiornati al nanosecondo.

Una breve storia della digitalizzazione dei veicoli a motore

Quando si è passati dalla meccanica al digitale?

Alcuni esperti del settore ritengono che l’informatizzazione dell’industria automobilistica sia iniziata nel 1955, quando la Chrysler propose una radio a transistor come optional su uno dei suoi modelli. Altri, pensando forse che una radio non sia una vera e propria caratteristica automobilistica, ritengono che sia stata l’introduzione dell’accensione elettronica, dell’ABS o dei sistemi elettronici di controllo del motore a inaugurare l’informatizzazione dell’automobile (da parte di Pontiac, Chrysler e GM rispettivamente nel 1963, 1971 e 1979).

Non importa quando è iniziato, ciò che è avvenuto dopo ha riguardato sempre più l’elettronica; poi le cose hanno cominciato a diventare più digitali, e la linea tra le due parti si è andata assottigliando. Tuttavia, per quanto mi riguarda l’inizio della rivoluzione digitale nelle tecnologie automobilistiche è datato febbraio 1986, quando, alla convention della Society of Automotive Engineers, la società Robert Bosch GmbH presentò al mondo il suo protocollo di rete digitale per la comunicazione tra i componenti elettronici di un’auto, detto anche CAN (Controller Area Network). E bisogna dare a questi ragazzi della Bosch il dovuto riconoscimento: ancora oggi questo protocollo è pienamente valido, di fatto è utilizzato in ogni veicolo al mondo!

Breve panorama del mondo automobilistico digitale dopo l’introduzione del bus CAN

I ragazzi della Bosch ci hanno dato vari tipi di bus CAN (a bassa velocità, ad alta velocità, FD-CAN), mentre oggi ci sono FlexRay (trasmissione), LIN (bus a bassa velocità), MOST ottico (multimediale) e, infine, Ethernet a bordo (oggi a 100 mbps; in futuro fino a 1 gbps). Al giorno d’oggi, nel progettare le auto vengono applicati vari protocolli di comunicazione. C’è la trasmissione drive by wire (sistemi elettrici invece di collegamenti meccanici), che ci ha portato: pedali elettronici a gaspedali elettronici dei freni (usati da Toyota, Ford e GM nelle loro ibride ed elettro-mobili dal 1998), freni a mano elettronicicambi elettronici, e sterzo elettronico (usato per la prima volta da Infinity nella sua Q50 nel 2014).

Bus BMW e interfacce


Nel 2000, Honda ha introdotto il 
servosterzo elettrico (sulla sua S2000) che, a determinate condizioni, è in grado di far girare la ruota. Nello stesso periodo sono stati introdotti anche i sistemi di accensione senza chiave, che permettono di controllare il motore senza conducente. Dal 2010, alcuni display del cruscotto sono completamente digitali e possono dare indicazioni su praticamente qualsiasi cosa. Dal 2015, l’elettronica della carrozzeria (porte, finestrini, serrature, ecc.) di praticamente tutte le nuove auto è collegata al computer centrale, che può prendere decisioni per queste funzionalità. E tutte le informazioni sul mondo esterno all’auto (tramite telecamere, assistenti, radar, microfoni…) sono accessibili al bus interno, ovvero su cloud.

Infine, chiudo questa breve digressione storica con un documento, adottato nel 2019 dalle Nazioni Unite, che ha introdotto gli standard per la digitalizzazione completa dei freni. Prima, il controllo elettronico dei pedali dei freni doveva essere duplicato da un cavo fisico. Ora non più…

Aggiornamenti del computer di bordo BMW

 

Connettersi o morire

Allora, con quali sistemi operativi funzionano le auto di oggi? Qui non ci sono sorprese: Windows, Linux, Android, anche uno chiamato QNX che, insieme a Linux, è il più popolare (ma, come sottolineano gli analisti, Android li sta raggiungendo velocemente). Comunque, come tutti i software, anche i sistemi operativi per automobili hanno bisogno di aggiornamenti occasionali; Sentite questa: alcuni aggiornamenti possono avere dimensioni di qualche decina di gigabyte. Ahia!

Ora un’altra breve interruzione prima di proseguire…

Quindi, se un’auto moderna è un computer, e viene aggiornata regolarmente, vuol dire che è collegata a Internet, giusto? Esatto. E al giorno d’oggi non è un’opzione; è obbligatorio su tutte le auto nuove, in Russia (dal 2017), in Europa (dal 2018) e altrove. E oggi la quota percentuale di “auto connesse” (connesse al cloud del produttore) si sta rapidamente avvicinando al 100% nel mondo. Ci sono alcuni paesi in cui ci sono alcune restrizioni ma sembra essere dovuto solo a una legislazione obsoleta, che inevitabilmente alla fine verrà aggiornata.

Comunque, il primo veicolo connesso  è apparso nel 1996, frutto della collaborazione tra General Motors e Motorola, ovvero il sistema telematico OnStar. Questo può connettersi automaticamente con un operatore in caso di incidente (sì, un po’ come l'”incidente” in Die Hard 4).

La diagnostica remota del veicolo è arrivata nel 2001 e dal 2003 le auto connesse hanno imparato a inviare report del produttore sulle condizioni dell’auto. Nel 2007 sono arrivati i blocchi di soli dati telematici.

Nel 2014 Audi è stata la prima ad offrire la possibilità di installare l’hotspot 4G-LTE-WiFi su un’auto. Nel 2015, la General Motors non si è limitata a offrire l’opzione ma ha iniziato a dotare tutte le sue nuove auto di hotspot, e ha ricevuto più di un miliardo di segnalazioni telematiche da parte dei proprietari di auto! Oggi, i produttori hanno anche iniziato a monetizzare la telemetria, con BMW in testa, e anche la convergenza tra smartphone e tecnologia automobilistica.

Ora, una domanda: cosa c’è qui, in questa schermata?

Questa, cari lettori, è la vostra auto; almeno come appare alla casa produttrice (in tempo reale, sempre, alle persone che vi lavorano e forse dall’altra parte del mondo). Un software che può vedere e gestire tutte le unità di controllo, la topologia della rete, le regole di routing, i caricatori, gli aggiornamenti, tutto nel palmo della loro mano. Ma… anche lì dentro: bug e vulnerabilità che possono far rabbrividire… e desiderare di tornare agli anni ’80 quando un’auto era un’auto e non un computer. E non è semplice allarmismo. Le minacce sono realigente!

La luce alla fine del tunnel

Dopo questa evoluzione elettro-digitale degli ultimi 20 anni o giù di lì, sembra che la rivoluzione nell’industria automobilistica sia dietro l’angolo. Tuttavia… Un futuro brillante di auto computerizzate ultra-connesse è  una meraviglia ma c’è una dura realtà che vi si interpone, sia legislativa che tecnica. Qui parlerò di quest’ultimo aspetto.

Il nuovo paradigma automobilistico non può essere semplicemente sovrapposto anche alla più recente architettura auto elettronica. Perché? Perché sotto il cofano di una nuova auto al giorno d’oggi ci sono circa 150 unità elettroniche sviluppate da diversi produttori in tempi diversi e secondo standard diversi, il tutto senza tener conto dell’intero panorama delle minacce informatiche di questo nuovo paradigma.

Almeno le case automobilistiche sembrano capire che costruire un utopico futuro V2X sulla confusa varietà elettronica di un’auto moderna è semplicemente fuori questione (e ci sono molti esempi che lo dimostrano, e molti altri che non sono mai stati pubblicati sulla stampa). Quindi, per ora, l’industria automobilistica è arrivata ad un punto morto.

Vicoli ciechi come questo sono comuni, si può ricordare il lungo dualismo delle due architetture di Windows (9x e NT), che esistevano in parallelo. Tuttavia, incanalando le lezioni apprese in quel caso, per far apparire un’apertura al vicolo cieco in cui si trova ora l’industria automobilistica, vedo due possibili scenari.

Il primo: economico, vivace, veloce e sbagliato: fare quello che ho appena detto che non dovrebbe essere fatto, ovvero applicare il nuovo paradigma al veicolo a motore di oggi così com’è (con la sua zuppa digitale di oltre 150 ingredienti). È sbagliato perché ritarderebbe il secondo scenario, ma non prima di aver causato perdite di vite umane (parliamo di auto che si muovono e non di un PC in un angolo della stanza), qualche grave danno alla reputazione, perdite finanziarie, più gente che dirà “ve l’avevo detto”.

Il secondo scenario, non economicamente vantaggioso, non rapido ma giusto: costruire una nuova architettura dalle fondamenta, basata su tre principi fondamentali:

  • Separazione di hardware e software (flessibilità);
  • Consolidamento delle funzionalità elettroniche (maneggiabilità);
  • Approccio “Secure by design” (sicurezza);

L’industria automobilistica ha molta esperienza e conoscenze in merito ai primi due principi. Per quanto riguarda il terzo, sono necessari esperti con la più profonda consapevolezza del panorama delle minacce informatiche, che siano in grado di trovare una soluzione. Le smart car del futuro saranno hackerate in scenari come quelli che vediamo oggi con i computer e le reti. E chi conosce questi scenari dentro e fuori meglio di chiunque altro? L’avete capito bene! E così, ora, il terzo e ultimo segmento di questo post un po’ lungo: quello che abbiamo da offrire.

Dal 2016 abbiamo organizzato un dipartimento dedicato alla sicurezza informatica nei trasporti, attivo e funzionante. Nel 2017 abbiamo lanciato il primo prototipo della nostra Secure Communication Unit (SCU) che, come suggerisce il nome, protegge le comunicazioni tra i componenti digitali di un’auto e i componenti infrastrutturali esterni all’auto. E già oggi disponiamo di una piattaforma basata sul nostro sistema operativo sicuro per lo sviluppo di componenti elettronici per automobili.

Nel mese di giugno di quest’anno così inconsueto, ha avuto luogo un altro evento correlato di cui voglio parlarvi. Insieme ad AVL Software e a Functions GmbH, abbiamo annunciato lo sviluppo di un sistema di assistenza alla guida avanzato (ADAS), anch’esso basato sul sistema operativo Kaspersky, che assiste il conducente e riduce anche il rischio di incidenti.

L’unità è dotata di due controller di sicurezza ad alte prestazioni con processore system-on-a-chip e fornisce ampie capacità di connettività, compresi i collegamenti a telecamere, lidar e altri componenti correlati. Supporta il nuovo standard della piattaforma adattiva AUTOSAR. Una tale configurazione da un lato fornisce una protezione secure-by-design (i dettagli qui), dall’altro apre tutta una serie di possibilità per l’installazione, la regolazione e l’aggiornamento delle funzionalità automobilistiche, un po’ come un app store per uno smartphone.

Ma ecco il punto chiave: anche se viene scoperta una vulnerabilità in uno dei componenti di un’automobile, i cybercriminali non saranno in grado di eseguire comandi pericolosi o di accedere ad altri componenti. Tutti i processi sono completamente isolati e il loro comportamento è filtrato da un sottosistema di sicurezza con regole adeguate.

Epilogo

Con i dovuti scongiuri, con le nostre soluzioni tecnologiche per l’automazione automobilistica siamo davvero all’avanguardia. È un mercato molto competitivo, ma non abbiamo concorrenza quando si tratta della nicchia (cruciale)  della sicurezza informatica.

Essendo membri di GENIVI e AUTOSAR, e partecipando a forum (ad esempio, UNECE WP.29) e a eventi del settore, vediamo vari tentativi di costruire una nuova architettura, inclusa quella basata su Linux (non che mi vedreste mai salire su un’auto con struttura basata su Linux!). Tuttavia, nessuno di questi fornisce l’ampio orizzonte di possibilità e la formula matematicamente provata della “sicurezza by design”, dove le correzioni e gli imprevisti successivi non sono semplicemente mai contemplati.

La nostra formula ha le sue caratteristiche: (1) scritta da zero con codice compatto micronano-kernel; (2) regole di comunicazione a componenti granulari; (3) completo isolamento dei processi; (4) operazioni effettuate in uno address space protetto; (5) default deny; (6) codice open source opzionale per i clienti; (7) esempi di implementazione di successo… sono le specifiche del nostro sistema operativo come queste che attirano le case automobilistiche che vogliono fare le cose in modo corretto e proporre un prodotto affidabile e fatto per durare.

Ma non è solo questo che li attrae

Oltre alla nostra sicurezza a bordo dei veicoli, abbiamo un portfolio di soluzioni e servizi infrastrutturali che lascia a bocca aperta. Proteggere l’auto del futuro è solo un pezzo del puzzle. Più avanti ci sono: la protezione dei dati backend, inclusi i nodi endpoint, gli audit del cloud (per verificare che non ci siano fughe di dati), lo sviluppo di applicazioni sicure per dispositivi mobili, la protezione contro le frodi online, il controllo della supply chain, il pentesting dell’infrastruttura e molto altro ancora. Chi vorrebbe lavorare con un intero “zoo” di vendor diversi per risolvere tutte questi problemi separatamente?

Per concludere, alcune citazioni illustrative tradotte ed estrapolate dal report di McKinsey sulla sicurezza informatica delle auto connesse, IMHO il materiale analitico più accuratamente visionario del mercato:

“Le case produttrici di automobili devono assegnare la proprietà e la responsabilità per la [sicurezza informatica] lungo le attività principali della catena del valore (anche tra i loro numerosi fornitori) e abbracciare una cultura della sicurezza trasversale a tutti i team principali”.

“Gli operatori del settore automobilistico devono tenere in considerazione la sicurezza informatica durante l’intero ciclo di vita del prodotto e non solo fino a quando l’auto viene venduta a un cliente, perché possono emergere nuove vulnerabilità tecniche in qualsiasi momento”.

“I costruttori di automobili devono ora considerare la sicurezza informatica come parte integrante delle loro funzioni di core business e infondervi i dovuti sforzi per il corretto sviluppo”.

In altre parole, “la sicurezza informatica diventerà la nuova dimensione della qualità nel settore automotive”.

Consigli