La motivazione, assurda, del Governo, per bocca del Sottosegretario al MEF, Sandra Savino di non inserire una ‘quota cyber’ nel PNRR quando si acquistano elementi digitali, perché “pregiudica la realizzazione del Piano”. Con il PNRR aumenta la superficie d’attacco dell’Italia. L’esecutivo n’è consapevole?
Nei convegni dedicati alla cybersecurity, politici, parlamentari ed esponenti di Governo “spendono belle parole” sulla necessità di investire sempre di più per rafforzare la “cyber-resilienza” dell’Italia, ma poi nei momenti cruciali, in cui occorre mettere nero su bianco questa volontà, si scopre, a sorpresa, che la cybersecurity è un inciampo alla realizzazione del Piano Nazionale di Ripresa e Resilienza.
Sì, può sembrare assurdo quanto scritto e letto da voi, ma è questo il senso del “NO” del Governo, per bocca del Sottosegretario al MEF, Sandra Savino, all’Ordine del giorno del deputato Pino Bicchielli di Noi Moderati, di inserire una “quota cyber” per ogni acquisto di software e hardware con i fondi del PNRR.
Interessante è la motivazione data dal Governo durante la valutazione del testo presentato dall’On. Bicchielli.
La richiesta di “smorzare” l’impegno al Governo è fatta “al fine di evitare di pregiudicare la realizzazione degli interventi del PNRR…”, ha usato proprio queste parole la Sottosegretaria Savino, come si può ascoltare dal video.
Praticamente per il Governo, inserire una quota cyber per ogni bando, metterebbe a rischio la realizzazione degli interventi del PNRR!?
Si sa che gli Ordini del giorno, che valgono quel che valgono, sono però importanti per comprendere il pensiero del Governo.
E in questo caso il Governo si è espresso negativamente sull’impegno politico a destinare una quota fissa dei bandi PNRR alla cybersecurity quando si acquistano elementi digitali, ed ha chiesto una riformulazione con la consueta formula “impegna a valutare di…”.
Ma il Governo è consapevole che con il PNRR aumenta la superficie d’attacco dell’Italia?
Allora come realizzare i tanti progetti del PNRR e PNC di smart cities, sulle infrastrutture di ricarica di auto elettriche, sulla digitalizzazione delle reti idriche, sulla digitalizzazione dei porti se non si pensa, by default, e con una quota ad hoc, alla loro sicurezza cibernetica?
La sicurezza informatica delle colonnine e delle infrastrutture di ricarica è troppo sottovalutata
Solo per fare un esempio sulle infrastrutture di ricarica di auto elettriche, ecco uno e due bandi PNRR per 15mila colonnine di ricarica. Nessun riferimento alle misure da implementare per la loro cybersicurezza.
Zero citazione alla cybersecurity anche per la Piattaforma unica nazionale per la ricarica dei veicoli elettrici, il cui decreto di istituzione è da oggi in Gazzetta Ufficiale.
Anche le infrastrutture di ricarica, e quindi le colonnine, possono essere a rischio di attacco hacker. Ecco alcuni casi avvenuti nel recente passato e la necessità di tenere conto dell’aspetto della cybersecurity nella progettazione dei punti di ricarica
Lo scorso anno in Inghilterra, per la precisione sull’isola di Wight, alcune colonnine di ricarica finirono sotto attacco hacker, con i loro display che di botto hanno iniziato a riprodurre immagini triviali ed oscene, oltre ad essere inutilizzabili. Ancora, nello stesso 2022 balzò agli onori delle cronache la manomissione, sempre da parte di hacker, di alcuni punti di ricarica nel tratto di autostrada tra Mosca e San Pietroburgo: in questo caso niente roba scollacciata sui display, bensì dei comprensibili e sacrosanti messaggi contro la guerra di Putin.
Il rischio informatico sottovalutato delle infrastrutture di ricarica
Questi due esempi simili nelle modalità ma diversi nei fini fanno capire in realtà quanto possano essere vulnerabili le infrastrutture utili alle auto elettriche, che appartengono a quell’Internet delle Cose potenzialmente a rischio di attacco hacker: pensiamo ad automobili connesse, sistemi domotici, sino a grandi impianti di produzione.
Tempo fa Yoav Levy, l’amministratore delegato di Upstream Security, aveva spiegato ad AutoNews che i motivi che spingono gli hacker a manomettere le colonnine possono riguardare la richiesta di un riscatto, come nel modus operandi dei cosiddetti black hat (che si distinguono dai white hat, hacker che invece lavorano per l’azienda produttrice, in questo caso delle infrastrutture, per testarne la vulnerabilità e la resistenza agli attacchi).
Quest’anno sono state rinvenute inoltre due vulnerabilità nell’Open Charge Point Protocol (OCPP, ovvero il protocollo applicativo che sovraintende la comunicazione tra le stazioni di ricarica ed un sistema di gestione centrale), grazie al lavoro di ricerca della società di sicurezza informatica per le reti energetiche Saiflow.
Queste falle potrebbero aprire la strada ad attacchi DDoS, acronimo che sta per Distributed Denial-of-Service, ovvero un sovraccarico del server o della rete bloccandone il servizio. Non solo, l’analisi svolta dall’Idaho National Laboratory sugli Electric Vehicle Supply Equipment (EVSE) ha messo in risalto il fatto che al loro interno fossero caricate versione obsolete di Linux e c’era inoltre la possibilità di eseguire parecchi servizi come root, quindi con l’utente che con le conoscenze giuste di informatica poteva manipolare a piacimento l’infrastruttura di ricarica, prendendone il controllo.
I rischi potrebbero potenzialmente esserci anche in Italia, con i suoi 37.000 punti di ricarica ad accesso pubblico censiti lo scorso anno secondo un rapporto di Motus-E, mentre negli Stati Uniti con gli attuali piani di stimolo ed incentivo l’amministrazione Biden punta ad aumentarne il numero nel territorio americano sino ad arrivare a quota 500.000 entro il 2030. Più aumenta la diffusione, più si innalza il livello di rischio che tutto questo sviluppo, necessario per rendere la mobilità più sostenibile e in armonia con le trasformazioni del mercato, possa fare gola ad hacker malevoli (e a chi sta loro dietro, ça va sans dire).
Le tipologie di attacchi informatici alle stazioni e colonnine
Secondo una indagine riportata da HWG, attacchi informatici alle colonnine potrebbero riguardare anche il furto della potenza di ricarica (da utilizzare in maniera perciò abusiva), manomissione dei sistemi di pagamento sino poi a manomettere tutto l’ecosistema digitale di una vettura, batterie comprese.
C’è poi un dato interessante: l’attenzione ad oggi è stata spesa più sul fronte dei veicoli che delle infrastrutture, come testimoniano i regolamenti Unece WP.29 R155 e ISO/SAE 21434 entrati in vigore nel 2021 e che si concentrano sugli standard di sicurezza nella progettazione e nella gestione delle auto intelligenti. Nessun cenno quindi a colonnine e sistemi di questo genere.
L’aumento degli attacchi e come possono difendersi i produttori
Un report della già citata Upstream, pubblicato lo scorso anno, sottolinea come proprio i punti di ricarica rappresentino il principale rischio nella sicurezza delle smart cars. Solo nel 2021, si legge, “l’84,5% degli attacchi automobilistici è stato effettuato da remoto”, e bisogna considerare che durante le ricariche i dati sensibili, sia dell’auto che dello stesso utente (pensiamo anche ai sistemi di pagamento), viaggiano su connessioni sia fisiche che wireless, che necessitano di protocolli di sicurezza proprio come le reti internet che usiamo a livello domestico. Inoltre sono potenzialmente a rischio i sistemi di ricarica bidirezionale e in generale quelli V2X (Vehicle-To-Everything), in cui ritroviamo ad esempio il Vehicle-To-Grid, la connessione tra auto e rete elettrica, il Vehicle-To-Load, ovvero il collegamento con dispositivi di ricarica, e così via.
I produttori, oltre a far maturare la consapevolezza opportuna riguardo la sicurezza dei dispositivi di ricarica, devono perciò lavorare sulla “security by design”, ovvero un approccio che ponga la cybersecurity come punto cardine nella progettazione delle infrastrutture e della tecnologia hardware e software.