sicurezza

Veicoli elettrici: i rischi cyber della mobilità connessa



Indirizzo copiato

I veicoli elettrici, connessi e avanzati tecnologicamente, offrono benefici ambientali ma introducono nuove vulnerabilità informatiche. L’integrazione con la rete elettrica e i metodi di ricarica conduttiva, induttiva e battery swapping possono esporli a data breach e attacchi DoS. È cruciale migliorare i protocolli di sicurezza e sensibilizzare gli utenti per mitigare i rischi

Pubblicato il 7 ott 2024

Marco De Vincenzi

Istituto di informatica e Telematica – Consiglio Nazionale delle Ricerche

Fabio Martinelli

Istituto di informatica e Telematica – Consiglio Nazionale delle Ricerche

Ilaria Matteucci

Istituto di informatica e Telematica – Consiglio Nazionale delle Ricerche



auto elettriche (1)

I veicoli elettrici offrono alcuni indubbi vantaggi rispetto ai veicoli a combustione, soprattutto in termini di riduzione dell’inquinamento diretto nelle nostre città. Un passaggio quello all’elettrificazione della mobilità che, tuttavia, comporta anche numerose sfide, alcune ben note come quelle legate alla sostenibilità e alla ricarica, altre spesso sottovalutate, come la sicurezza informatica del veicolo.

Le vulnerabilità dei veicoli elettrici

Perché un veicolo elettrico potrebbe essere più vulnerabile rispetto a un veicolo a combustione? Le ragioni sono molte, dalla accresciuta presenza di potenza di calcolo e connessioni wireless nei veicoli elettrici, alla massiccia integrazione delle stazioni di ricarica nella rete elettrica nazionale che contribuisce a rendere l’ecosistema elettrico in una rete estremamente complessa.

La rete non solo facilita la ricarica dei veicoli, ma supporta anche servizi avanzati di gestione dell’energia, come le operazioni Vehicle-to-Grid (V2G), in cui il veicolo diventa un nodo della rete. Tuttavia, questa integrazione introduce una serie di vulnerabilità informatiche, soprattutto nella gestione e condivisione dei dati all’interno dell’ecosistema, che devono essere affrontate per garantire un funzionamento sicuro e affidabile dell’infrastruttura.

Perché i veicoli elettrici sono più vulnerabili

I veicoli moderni sono veri e propri computer su ruote, capaci di generare e gestire una grande quantità di dati. Inoltre, sono connessi a Internet attraverso i loro sistemi di telematica e infotainment. Questa connessione risponde all’esigenza, da parte delle aziende, di gestire e fornire informazioni e aggiornamenti Over-the-Air (OTA) e, da parte degli utenti, di avere un veicolo connesso, in grado di ricevere informazioni e servizi. In un mondo con crescenti preoccupazioni in materia di sicurezza e privacy, l’avvento e la diffusione dei veicoli elettrici estendono ulteriormente la superficie di attacco, includendo non solo l’infrastruttura di trasporto ma anche quella della distribuzione dell’energia: ogni veicolo in fase di ricarica diventa parte della rete elettrica, con cui scambia non solo energia, ma anche dati.

Data breach e attacchi DoS: le conseguenze sulla cybersecurity dei veicoli elettrici

Ma quali possono essere le conseguenze sulla cybersecurity nel contesto dei veicoli elettrici? Oggi possiamo individuare due principali conseguenze: i data breach e gli attacchi Denial-of-Service (DoS). Nel primo caso, i dati dell’utente possono essere sottratti durante la fase di ricarica o successivamente. Nel secondo, un attacco DoS potrebbe compromettere il veicolo o la stazione di ricarica attraverso l’introduzione di software malevolo, mettendo a rischio non solo una singola colonnina, ma l’intera stazione, con il potenziale di propagarsi alla rete.

Le vulnerabilità nascoste nella ricarica delle auto elettriche

Oggi esistono tre principali metodologie di ricarica per veicoli elettrici.

La ricarica conduttiva

La prima è la ricarica conduttiva, come descritta in Figura 1, che consente l’installazione di wallbox private per uso domestico, utilizzando principalmente corrente alternata (AC). Questo metodo permette anche l’installazione di colonnine di ricarica in aree pubbliche o private, che possono essere equipaggiate con cablaggio adatto alla corrente continua (DC) e diversi tipi di connettori. I protocolli Open Smart Charging Protocol (OSCP) e Open Charge Point Protocol (OCPP) vengono utilizzati per gestire queste stazioni di ricarica, con la possibilità di implementare il protocollo TLS per garantire la sicurezza delle comunicazioni.

Figura 1 Ricarica conduttiva

Il metodo induttivo

Il secondo è il metodo induttivo, come illustrato in Figura 2, che può essere statico o dinamico e attualmente risulta meno diffuso.

Figura 2 A sinistra ricarica induttiva statica, a destra ricarica induttiva dinamica.

Il battery swapping

Il terzo è il battery swapping in Figura 3, che prevede la sostituzione della batteria in specifiche aree di ricarica. Dal punto di vista del rischio di attacco, non tutti i metodi di ricarica sono uguali.

Figura 3 Battery swapping

Tra queste tre opzioni, la ricarica conduttiva può essere considerata la più vulnerabile agli attacchi esterni, in quanto potrebbe presentare vulnerabilità nei protocolli di comunicazione e negli standard applicati.

I rischi dei protocolli OSCP e OCPP

In particolare, i protocolli OSCP e OCPP possono essere esposti a rischi. Un esempio è il protocollo OCPP versione 1.6, ancora ampiamente utilizzato per lo scambio di informazioni tra la stazione di ricarica e la centralina di distribuzione, su cui sono state scoperte diverse vulnerabilità (CVE-2024-28136, CVE-2024-25999, CVE-2024-21550). Inoltre, in un luogo pubblico, il tempo di ricarica espone il veicolo a un possibile attaccante, che potrebbe monitorare il veicolo per un tempo indefinito, una situazione non presente nei veicoli a combustione. Inoltre, non è da escludere che la ricarica possa diventare un vettore per veicolare software malevolo all’interno dell’auto stessa, rendendola potenzialmente controllabile dall’attaccante.

Nella Tabella riassuntiva 1 confrontiamo i diversi metodi di ricarica dei veicoli elettrici in base alla velocità di ricarica, alla posizione usuale e all’analisi della sicurezza utilizzando il modello STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege). Ogni metodo di ricarica, come la ricarica conduttiva AC/DC, la ricarica induttiva statica/dinamica e lo scambio di batterie, è valutato rispetto a questi criteri di sicurezza, evidenziando i potenziali rischi associati. Il modello conduttivo risulta potenzialmente il più vulnerabile ai diversi attacchi.

Tabella 1 Confronto in termini di cybersecurity dei diversi metodi di ricarica usando il modello STRIDE.

Conclusioni

I veicoli elettrici rappresentano un significativo cambiamento per l’automotive, ma dal punto di vista della cybersecurity la loro introduzione nella rete di distribuzione dell’energia può comportare conseguenze non solo per il veicolo stesso, ma anche per la rete di distribuzione a cui il veicolo è connesso, rendendolo un nodo malevolo.

È necessaria l’introduzione di soluzioni di sicurezza, come il miglioramento dei protocolli esistenti, l’adozione di OCPP 2.0.1, e l’implementazione di sistemi di autenticazione robusti sulla rete per mitigare questi rischi. È inoltre essenziale investire nella formazione continua degli stakeholders e nella sensibilizzazione degli utenti sui potenziali rischi di cybersecurity. Queste ricerche sono supportate da vari progetti nazionali quali SERICS e RDS (progetto cyber).

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4