Cybersecurity nel settore automotive: la Regulation 155 impone la "Security by design"

La Unece R155 entrerà in vigore a luglio 2022 per i veicoli di nuova omologazione e a Luglio 2024 per tutti gli altri veicoli immatricolati.
 
L’Autorità preposta all’omologazione dei veicoli impone ai costruttori di veicoli (OEM) la “compliance” alla R155, per ottenere l’omologazione del veicolo.

Il costruttore dei veicoli (OEM) impone ai propri fornitori di componenti di essere compliant agli aspetti normativi in ambito Cyber (ISO 26262, ISO 21434, R155, R156), per dimostrare la loro compliance relativamente a tutto il vehicle life-cycle, includendo in questo processo la parte di gestione fornitori.

La Regulation 155 impatta su tutto il ciclo di vita del veicolo, dal concept, alla produzione fino alla rottamazione, interessando tutta la supply chain: anche i fornitori devono avere un ruolo attivo nel processo di sviluppo di una vettura “secure by design”, predisponendo un sistema di sorveglianza attiva sui rischi e le vulnerabilità che dovessero manifestarsi sul prodotto in esercizio.

La Regulation 156 va invece a regolamentare, sempre nel campo automotive, la sicurezza nell’aggiornamento del software in modalità “over the air” e la sua entrata in vigore è prevista nel 2024 per le omologazioni e  nel 2026 per le immatricolazioni

Per quello che riguarda più nello specifico l’R155 sono due le prospettive adottate, tra loro complementari. Da una parte vengono disciplinati i processi di sviluppo e gestione della Cybersecurity nell’organizzazione dell’azienda. Si parla, in questo caso, di CSMS (Cybersecurity Management System): un car maker deve dotarsi di un sistema di gestione della sicurezza, certificato, che riguarda la gestione delle policy, l’individuazione e gestione dei rischi fino alla gestione degli eventi legati a cyber attack.

Dall’altra viene disciplinata la Cybersecurity con riferimento al prodotto. Vengono definite delle classi di rischi che devono essere considerate e rispetto alle quali il veicolo deve essere protetto, lasciando al car maker ed ai fornitori la definizione delle tecniche e delle soluzioni, che non vengono prese in considerazione dalla Regulation. Vengono solo delineati gli ambiti da considerare nella definizione di una strategia di protezione.

La normativa, inoltre, prevede che, per garantire la sicurezza dell’utente, siano identificate le minacce più probabili al sistema e valutati i danni possibili e la loro entità nel TARA (Threat Analysis and Risk Assesment). 
I parametri di sicurezza piu’ rilevanti sono la safety, elemento che caratterizzerà la scelta dei consumatori, l’operatività del veicolo, il danno finanziario e la privacy dell’utente, per salvaguardare i suoi dati, come, ad esempio, lo stile di guida, i luoghi visitati, i contatti.
Visto l’aumento costante di componenti elettronici e software nei veicoli - che richiede uno sviluppo continuo per garantire la sicurezza degli utenti -  si stanno susseguendo standard di riferimento nel processo di certificazione della compliance alla UNECE R155.

Tra gli standard più rilevanti vi è lo standard ISO/SAE 21434, dal titolo “Road Vehicle Cyber Security Engineering”, interamente dedicato alla Cybersecurity dei veicoli, che  insieme alla ISO 26262 dedicata alla safety di utenti e veicoli, completa l’insieme di regole comuni necessarie a garantire la sicurezza informatica nel settore automotive.