Gli eventi criminosi che un attaccante può generare da una colonnina sono diversi:
- furto di potenza di ricarica, che si traduce in utilizzo gratuito non autorizzato del servizio;
- manipolazione dei sistemi di pagamento;
- interruzione del funzionamento della stazione di ricarica, che può trasformarsi in un classico attacco DoS (Denial of Service) con richiesta di riscatto;
- violazione del sistema digitale dei veicoli, con possibile danneggiamento di alcune componenti cruciali (tra tutti, le batterie).
Molta attenzione alle auto, poca all’infrastruttura
Nel luglio del 2021 sono entrati in vigore due regolamenti specifici: Unece WP.29 R155 e ISO/SAE 21434. Entrambi riguardano gli standard per la progettazione e la gestione delle smart cars sul fronte della sicurezza informatica. I regolamenti sono sintomatici di come l’oggetto della protezione da cyber attacchi siano considerati i veicoli e non l’ambiente in cui essi si muovono.
E’ certamente vero che il parco circolante delle auto connesse è amplissimo, poiché comprende anche quelle alimentate a carburante classico, che sono la maggioranza; tuttavia è altrettanto vero – ed è importante sottolinearlo – che una colonnina di ricarica di un’auto elettrica è una potenziale porta di ingresso in un sistema complesso di cui sono parte proprio quella maggioranza di auto di cui abbiamo appena detto. Non è eccessivo ipotizzare che, una volta presenti in questo sistema, gli attaccanti possano muovercisi senza barriere tra un’auto e l’altra, indipendentemente dal tipo di alimentazione che le muove.
Questo disequilibrio è stato al centro di un report pubblicato nel 2022 da Upstream, società israeliana specializzata nella sicurezza informatica delle automobili. Nel report, le colonnine e le stazioni di ricarica sono indicate come il primo dei tre rischi emergenti nello scenario di cybersecurity delle auto elettriche.
I rischi nel dettaglio
Il primo riguarda la complessità dei protocolli di comunicazione. Durante le operazioni di ricarica i dati sensibili dell’utente e dell’auto transitano su connessioni fisiche e wireless, che devono essere gestite. Secondo il report, la maggior attenzione sulle colonnine si ferma alle fasi iniziali dell’implementazione della sicurezza informatica e non oltre; ciò crea un grave problema dal momento che le piattaforme e le strutture utilizzate non sono tenute a rispettare i due regolamenti citati poco fa. L’esposizione al rischio è dunque molto alta.
Il secondo dei rischi emergenti riguarda la proliferazione delle Api (Application Programming Interface), che sono ciò che permettono a due sistemi diversi di comunicare tra loro. Sul punto, mancano strumenti di controllo dei loro codici e la loro implementazione è incompleta.
Il terzo rischio, invece, esce dall’alveo del digitale per entrare in quello geopolitico, con la grave situazione delle supply chain nella fornitura di materiali utili a realizzare un’adeguata e robusta infrastruttura di sicurezza dell’automotive.
Cosa possono fare i produttori dei dispositivi di ricarica?
I produttori possono compiere due importanti passi sul fronte della sicurezza delle colonnine di ricarica. Il primo va compiuto sul terreno dell’awareness, sviluppando una consapevolezza del rischio che li porti alla maturazione dell’opportuna e necessaria sensibilità verso la cybersecurity, quindi a realizzare prodotti che siano il più possibile schermati contro eventuali attacchi. Ciò porta al secondo, fondamentale passo: lavorare sulla security by design, tramite un approccio che metta la sicurezza al primo posto nella fase di progetto del prodotto e in quella di verifica delle componenti hardware e software, anche coinvolgendo partner affidabili in fase di test preliminari.
