Privacy e protezione dei dati personali nei veicoli connessi: le sfide - Cyber Security 360

L'APPROFONDIMENTO

Privacy e protezione dei dati personali nei veicoli connessi: le sfide

La sempre maggiore diffusione di veicoli connessi pone diverse problematiche in ambito privacy e protezione dei dati personali a bordo ed è quindi importante che costruttori e terze parti coinvolte affrontino le questioni in base alle normative locali e internazionali applicabili come il GDPR. Il punto

05 Mag 2021
R
Andrea Razzini

Cyber Security Specialist CISSP, CEH, CCSK, CompTIA

Non solo conducenti e passeggeri, ma anche i veicoli stanno diventando sempre più connessi e per questo, anche nel settore dell’automotive, si parla sempre più spesso di privacy e protezione dei dati a bordo.

Molti modelli lanciati negli ultimi anni sul mercato, infatti, integrano sensori e apparecchiature multimediali connesse, che possono raccogliere e registrare vari parametri come le prestazioni del motore, le abitudini di guida, i luoghi visitati e potenzialmente anche i dati biometrici a fini di autenticazione o identificazione e/o safety (ovvero la sicurezza fisica delle persone).

Tale elaborazione dei dati avviene in un ecosistema complesso, che non è limitato ai tradizionali attori dell’industria automobilistica, ma è anche influenzato dall’emergere di nuovi players appartenenti all’economia digitale.

Questi nuovi service providers possono offrire servizi di infotainment come musica online, condizioni stradali e informazioni sul traffico o fornire sistemi e servizi di assistenza alla guida, aggiornamenti sulle condizioni del veicolo, assicurazione basata sull’utilizzo o mapping dinamico.

Inoltre, poiché i veicoli sono collegati tramite reti di comunicazione, anche i gestori dell’infrastruttura stradale e gli operatori di telecomunicazioni coinvolti in questo processo svolgono un ruolo importante rispetto alle operazioni di trattamento dati personali dei conducenti e dei passeggeri (basti pensare alle future reti 5G che aumenteranno la connettività dal veicolo all’esterno, ovvero la cosiddetta V2X).

I veicoli sempre più connessi generano quantità crescenti di dati, la maggior parte dei quali possono essere considerati dati personali poiché riferiti a conducenti o passeggeri. Anche se i dati raccolti da un’auto connessa non sono direttamente legati ad un nome, ma ad aspetti tecnici e caratteristiche del veicolo, interesseranno sempre il conducente o i passeggeri dell’auto. Ad esempio, i dati relativi allo stile di guida come:

  1. distanza percorsa;
  2. usura delle parti del veicolo;
  3. telecamere che studiano il comportamento del conducente, nonché informazioni su altre persone che potrebbero trovarsi all’interno o all’esterno del veicolo.

Privacy e protezione dati nei veicoli connessi: i principi

In ambito cyber security sono noti i tre obiettivi principali spesso declinati secondo la triade CIA (Confidentiality, Integrity, Availability, in inglese), che riprendiamo qui nel seguito come definizione:

  1. confidenzialità: le informazioni non sono rese disponibili o divulgate a individui, entità o processi non autorizzati
  2. integrità: i dati non possono essere modificati o cancellati in modo non autorizzato o non rilevato.
  3. disponibilità: i sistemi informatici utilizzati per archiviare ed elaborare le informazioni, devono funzionare correttamente ed essere sempre disponibili come risorse.

In maniera simile, a livello privacy possono essere definiti i seguenti tre obiettivi:

  1. prevedibilità: La capacità di sapere quali dati dei vari dispositivi che ci circondano vengono raccolti e come le informazioni verranno elaborate e trattate successivamente.
  2. gestibilità: La correlazione tra i dati può portare ad avere informazioni sensibili, occorre sapere la granularità di come sono trattati i nostri dati e come modificarli o cancellarli.
  3. non-associabilità: ovvero trattare i dati in modo che non possano essere associati a individui evitando tracciamenti e profilazioni.

Scopo di questo articolo è quello di evidenziare i rischi per la privacy degli individui quando consideriamo il complesso ecosistema dei veicoli connessi.

Tale ecosistema non è molto diverso alla fine da quello del mondo IoT (Internet of Things) dove le sfide in termini di privacy appaiono molto simili. Oggi, infatti, un veicolo connesso è già un elemento di rete in grado di “parlare” con altri veicoli, con sistemi a bordo strada, con server in cloud e ovviamente con gli stessi passeggeri che interagiscono sempre di più con le funzionalità di bordo tramite Bluetooth o Wi-Fi o porte USB/SD (come dispositivi di memoria o connettività).

Privacy e protezione dati nei veicoli connessi: regolamentazioni

Parlando di privacy e protezione dei dati personali a bordo dei veicoli connessi è inoltre possibile adeguarsi ad una serie di regolamentazioni e best practice. Analizziamole nel dettaglio.

Le linee guida EDPB

Il 28 gennaio 2020 l’EDPB (European Data Protection Board) ha emanato le linee guida europee: “Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications”.

Lo scopo di questo documento si concentra in particolare sul trattamento dei dati personali in relazione all’uso non professionale dei veicoli connessi: ad esempio, conducenti, passeggeri, proprietari di veicoli, noleggiatori e via dicendo.

Più specificamente, tratta i dati personali:

  1. elaborati all’interno del veicolo;
  2. scambiati tra il veicolo e dispositivi personali ad esso collegati (ad esempio, lo smartphone dell’utente);
  3. raccolti all’interno del veicolo ed esportati a entità esterne (ad esempio, costruttori di veicoli, gestori dell’infrastruttura, compagnie di assicurazione).

Allo stato attuale, l’EDPB ha identificato tre categorie di dati personali che meritano un’attenzione particolare, da parte dei produttori di veicoli e apparecchiature, fornitori di servizi e altri responsabili del trattamento, in sintesi:

  1. dati di geolocalizzazione (es. GPS);
  2. dati biometrici (es. riconoscimento vocale);
  3. dati che rivelano reati o altre infrazioni (es. manipolazione dati di percorrenza).

Nel documento EDPB si riassumono i principi guida per la protezione dei dati personali:

  • importanza e minimizzazione dei dati;
  • protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e by default);
  • trattamento dei dati personali;
  • anonimizzazione e pseudonimizzazione;
  • valutazione dell’impatto sulla protezione dei dati (Data Protection Impact Analysis, DPIA);
  • diritti dell’interessato;
  • sicurezza e riservatezza;
  • trasmissione di dati personali a terzi;
  • trasferimento di dati personali al di fuori dell’UE / SEE;
  • uso delle tecnologie Wi-Fi a bordo del veicolo.

La conclusione principale a cui si arriva attraverso la lettura del documento è quella riguardante i conducenti di veicoli e i passeggeri che potrebbero non essere sempre adeguatamente informati sul trattamento dei dati che avviene in o attraverso un veicolo connesso.

Inoltre, i veicoli vengono sempre più condivisi o noleggiati, non solo da aziende, ma anche da privati, e la persona i cui dati vengono raccolti potrebbe non essere in grado di opporsi ad alcuni trattamenti dei dati. La comunicazione nel veicolo può essere attivata automaticamente e per impostazione predefinita, senza che l’individuo se ne accorga.

In assenza della possibilità di controllare efficacemente il modo in cui il veicolo e le sue apparecchiature collegate interagiscono, è destinato a diventare molto difficile per l’utente controllare il flusso di dati.

La regolamentazione UNECE R155

L’UNECE (United Nations Economic Commission for Europe) ha emanato di recente una regolamentazione destinata a diventare un obbligo di omologazione e immatricolazione dei futuri veicoli su strada in tema di cyber security. Anche se la regolamentazione punta l’attenzione sul CSMS (Cybersecurity Management System), quindi sugli aspetti prettamente legati ai cyber attacchi, contiene un requisito riguardante anche la privacy:

Il costruttore del veicolo deve dimostrare che i processi utilizzati nell’ambito del proprio sistema di gestione della sicurezza informatica garantiranno il monitoraggio di cui al paragrafo… Questo deve:

… includere la capacità di analizzare e rilevare minacce informatiche, vulnerabilità e attacchi informatici dai dati dei veicoli e dai registri dei veicoli. Questa capacità deve rispettare il diritto alla privacy dei proprietari o conducenti di auto, in particolare per quanto riguarda il consenso“.

Nell’Annex 5 del documento del giugno 2020, si evidenziano e si catalogano poi le minacce relative alla privacy:

  • minaccia1: Estrazione dei dati/codice del veicolo;
  • minaccia2: Accesso non autorizzato alle informazioni sulla privacy del proprietario come identità personale, informazioni sull’account di pagamento, informazioni sulla rubrica, informazioni sulla posizione, ID elettronico del veicolo e via dicendo.

Mitigazione: attraverso la progettazione del sistema fin dallo stadio iniziale della fase di Concept non dovrebbe essere possibile per il personale non autorizzato accedere ai dati personali o critici del sistema.

Esempi di controlli di sicurezza possono essere trovati in generale nelle best practices relative ai principi di security e privacy by design.

Lo standard ISO 21434

Lo standard ISO 21434 (Road vehicles – Cybersecurity engineering) attualmente ancora in versione “Draft”, definisce i requisiti fondamentali per l’implementazione della sicurezza in tutto il ciclo di sviluppo di un prodotto/veicolo.

In particolare un requisito è dedicato alla privacy e a i suoi potenziali impatti:

Gli scenari di minaccia (Threat Scenarios) devono essere valutati rispetto alle potenziali conseguenze negative per le parti interessate relativamente alle categorie di impatto di sicurezza, finanziario, operativo e privacy (Security, Financial, Operational, Privacy)”.

“S, F, O, P” sono le principali categorie di impatto utilizzate per valutare le conseguenze sugli utenti della strada.

Questo documento prevede l’estensione delle categorie principali con categorie aggiuntive che potrebbero aiutare a valutare l’impatto su altri stakeholder, ad esempio l’azienda stessa o l’infrastruttura di connessione in cloud.

Esempio di categorie sono la perdita di proprietà intellettuale, perdite finanziarie per le imprese, perdita dell’immagine o della reputazione del marchio e privacy e legislazione.

Storia degli incidenti privacy nel settore automotive

Tra tutti gli incidenti accaduti su Internet riguardanti la perdita di dati negli ultimi due anni, ve ne sono alcuni particolarmente degni di nota.

Primo scenario

Marzo 2019: “Unencrypted Video and Personal Data Raise Significant Privacy Concerns”

Un ricercatore e un hacker autoproclamatosi un White Hat hanno dimostrato quanti dati personali sono stati in grado di estrarre dai veicoli.

Il ricercatore e il suo collega (che ha acquistato e riparato centinaia di veicoli distrutti) avrebbero studiato attentamente vari modelli e sono così stati in grado di trovare una quantità allarmante di dati personali lasciati nell’auto dopo che è stata portata via per rottamazione.

Utilizzando le informazioni “archiviate” nell’auto, è stato poi possibile associare il veicolo al suo proprietario.

I ricercatori sono stati in grado di raccogliere i dati memorizzati da almeno 17 diversi dispositivi che erano stati collegati all’auto durante il suo ciclo di vita, nessuno dei quali crittografato. I dati includevano le informazioni di contatto di 11 rubriche, voci di calendario per i dispositivi associati e persino una serie di indirizzi e-mail. I ricercatori sono stati anche in grado di scoprire gli ultimi 73 luoghi in cui erano stati i conducenti.

Ma forse la prova più schiacciante trovata nell’auto era il video di due incidenti separati avvenuti nella vettura poi distrutta.

Secondo scenario

Ottobre 2020: “Hackers Steal Data of 129 Million Russian Car Owners To Sell For Bitcoin”.

Come riportato, gli hacker anonimi hanno rubato i dati di milioni di proprietari di auto russe dal registro della Amministrazione generale per la sicurezza stradale. Le informazioni raccolte includono i nomi, i dettagli del passaporto e gli indirizzi, nonché altri dati. Il rapporto afferma che l’hack è stato confermato da un dipendente della società di car sharing.

Le informazioni sono state poi messe in vendita sulla DarkNet con pagamento in Bitcoin. Il rapporto afferma: “La versione completa del database costa 0,3 BTC, che al tasso attuale è di circa $ 2850. Per 1,5 BTC o $ 14,250, puoi acquistare informazioni per uso esclusivo”.

Privacy e protezione dati nei veicoli connessi: punti aperti

Nonostante la disponibilità di diverse tecniche di difesa, nessuna risolve il problema della protezione dati personali in modo esaustivo. Tutte soffrono infatti di varie lacune, ad esempio:

  • mancanza ad oggi di un vero Cybersecurity Management System (con privacy, aggiungerei) che abbracci tutto il ciclo di sviluppo di un prodotto, ma anche le fasi di produzione e post-sviluppo. (in questo senso la norma UNECE R155 stabilirà obblighi ben precisi);
  • mancanza di requisiti per la fase di “Decommissioning” ovvero distruzione dei dati personali al termine della vita del prodotto/veicolo (EOL- End of Life);
  • complessità del sistema futuro di connessione di un veicolo (ad es. future ricariche elettriche, pagamenti online ecc.);
  • minore priorità degli operatori del mondo Automotive ad aspetti di trattamento dati;
  • sottostima degli impatti Privacy rispetto a quelli Finanziari, Operativi, Safety.

Conclusioni

I costruttori dei veicoli e tutte le terze parti dovrebbero affrontare le questioni relative alla privacy in base alle normative locali e internazionali applicabili come il GDPR.

Per soddisfare i requisiti normativi relativi alla privacy, è necessario seguire diverse regole di tutela della privacy come la definizione dello scopo del trattamento dei dati privati, la raccolta di una quantità minima di dati personali ed evitare la raccolta di dati privati se non sono necessari.

L’approccio migliore per la sicurezza, la gestione della privacy e la protezione dei dati dei veicoli connessi è quello che “a strati” implementa controlli e principi in quattro aree principali: protezione/prevenzione (Protect), rilevamento (Identify/Detect), risposta (Respond) e recupero (Recover).

In sintesi, un elenco di questi controlli (non esaustivo, ma fondamentale) è il seguente:

  1. eseguire la fase di Privacy Impact Assessment;
  2. eseguire Vulnerability Assessment periodici per identificare le vulnerabilità e simulare attacchi che possono dimostrare debolezze nei componenti e minacce alla protezione dei dati e privacy;
  3. eseguire una valutazione dei controlli di sicurezza (architetture) e fare il patching delle vulnerabilità;
  4. implementare un meccanismo di aggiornamento dei software sicuro;
  5. incrementare la consapevolezza e cultura sugli aspetti di privacy;
  6. applicare standard riconosciuti di settore in ambito di protezione dati a livello system/software/hardware/firmware;
  7. monitorare l’evolversi delle minacce e vulnerabilità anche dopo che il proprio prodotto/veicolo è stato sviluppato (miglioramento continuo).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5