Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaIn opposizione alla legge sulla riparazione, l’NHTSA sostiene la sicurezza attraverso l’oscurità
La “sicurezza attraverso l’oscurità” – l’idea secondo cui mantenere segreto il funzionamento della tecnologia è un mezzo per proteggerla dagli attacchi – è stata abbandonata molto tempo fa dai professionisti della sicurezza informatica e dal più ampio settore della sicurezza informatica. Come la storia ci ha dimostrato: la segretezza non è la stessa cosa della sicurezza e non resiste bene agli avversari intelligenti, intraprendenti e determinati.
Basta non dirlo alla National Highway Traffic Safety Administration (NHTSA), che si è espressa fortemente a favore del concetto in una lettera a 22 case automobilistiche la scorsa settimana. La lettera, datata 13 giugno, prendeva di mira una legge del Massachusetts che fornisce ai proprietari di veicoli il controllo e l'accesso ai dati telematici della propria auto. NHTSA ha affermato che la legge potrebbe facilitare gli attacchi informatici e “consente la manipolazione dei sistemi su un veicolo, comprese funzioni critiche per la sicurezza come lo sterzo, l’accelerazione o la frenata”. Ha continuato dicendo alle case automobilistiche che i rischi informatici telematici costituiscono un rischio per la sicurezza dei veicoli e vanno in conflitto con il National Traffic and Motor Vehicle Safety Act (Safety Act), una legge risalente alla metà degli anni '60, e quasi ordina loro di mantenere i sistemi telematici dei loro veicoli sistemi chiusi.
"Dati i gravi rischi per la sicurezza posti dalla legge sull'accesso ai dati, intraprendere azioni per aprire l'accesso remoto alle unità telematiche dei veicoli in conformità con tale legge, che richiede percorsi di comunicazione con i sistemi di controllo del veicolo, sarebbe in conflitto con i vostri obblighi ai sensi della legge sulla sicurezza," NHTSA ha scritto.
Ma nel sostenere la sicurezza delle case automobilistiche attraverso l’oscurità, NHTSA ha trascurato sia le proprie migliori pratiche informatiche sia i recenti rapporti che suggeriscono che i sistemi telematici delle case automobilistiche sono pieni di difetti e vulnerabilità di sicurezza sfruttabili.
La legge telematica del Massachusetts sul diritto alla riparazione dei veicoli è stata scritta per rendere più semplice e meno costoso per i proprietari di veicoli riparare le proprie auto, promuovendo la concorrenza nel mercato delle riparazioni automobilistiche. Tre anni fa, le misure elettorali hanno dato vita a una campagna rancorosa durata mesi che ha visto le case automobilistiche investire milioni di dollari in pubblicità televisive avvertendo i residenti del Massachusetts, senza prove, che l’accesso alle informazioni sulla riparazione dei veicoli avrebbe dato a criminali e stalker l’accesso alle loro case e ai loro veicoli. Le tattiche intimidatorie del settore non hanno funzionato: il provvedimento elettorale è stato approvato con più di tre quarti degli elettori a sostegno nel novembre 2020.
Ma non era la fine. La sua approvazione ha stimolato una causa legale quello stesso mese da parte di un gruppo di lobbying dell'industria automobilistica. Quella causa, Alliance for Automotive Innovation contro Campbell, è rimasta nell'aula del giudice federale Douglas Woodlock per più di due anni, senza alcuna decisione in vista. Il 1° giugno, il neoeletto procuratore generale del Massachusetts, Andrea Joy Campbell, ha iniziato a far rispettare la legge in assenza di una sentenza della corte a favore o contro di essa. La lettera dell'NHTSA, due settimane dopo, gettò i bastoni tra le ruote all'applicazione della legge da parte dello Stato.
C'è solo un problema: la legge sul diritto alla riparazione delle automobili del Massachusetts non fa nessuna delle cose che la lettera dell'NHTSA afferma di fare. Come scritta e approvata dagli elettori del Massachusetts, la legge dice semplicemente che i veicoli venduti in Massachusetts che utilizzano un sistema telematico sono tenuti a dotare tali veicoli di “una piattaforma interoperabile, standardizzata e ad accesso aperto per tutte le marche e modelli del produttore”. La sicurezza non è un ripensamento. La legge infatti specifica che “tale piattaforma deve essere in grado di comunicare in modo sicuro tutti i dati meccanici provenienti direttamente dal veicolo a motore attraverso una connessione dati diretta alla piattaforma”.
Questo è tutto. La parola “aperto” appare solo una volta nell’aggiornamento del 2020 della legge sull’accesso ai dati e viene utilizzata nel contesto di “non proprietario”, non “non protetto”. Ciò che la legge fa è togliere alle case automobilistiche il ruolo di guardiani che possono decidere chi ha accesso ai dati telematici dei veicoli. Afferma invece che gli individui possono accedere e condividere i dati telematici prodotti dal proprio veicolo come ritengono opportuno, anche con professionisti della riparazione indipendenti e terzi.