El sector automovilístico es un ejemplo internacional de integración de tecnologías clásicas y sistemas interconectados modernos. Para hacer frente a un mercado altamente competitivo, los fabricantes han ido incorporando progresivamente más tecnología inteligente en los nuevos modelos de automóviles, desde cierres centralizados, hasta software de aparcamiento y conducción autónoma. Todos estos elementos pueden facilitar el uso y seguridad de un automóvil, pero, como pasa en todos los entornos industriales, cuando se introducen nuevas tecnologías, también introducen nuevos vectores de riesgo de ciberseguridad.
Por ejemplo, un automóvil con software vulnerable puede ser objetivo de ataques que irían desde la filtración de datos sensibles de los usuarios (datos de ubicación, hábitos de uso…), hasta poner un peligro la seguridad del conductor, los pasajeros o el resto de los ocupantes de la vía. Los riesgos se incrementan según aumenta la dependencia del automóvil de sistemas digitales para la gestión de combustible, frenos, dirección y otros elementos que lo componen.
Este nuevo paradigma ha instado una iniciativa de la Unión Europea para establecer regulaciones estandarizadas para todos los automóviles vendidos en el espacio europeo, sin importar fabricante o tipología de vehículo. Este esfuerzo se ha materializado en los reglamentos europeos UN R155 y UN R156, reglas que entrarán en vigor en julio de 2024. Estas regulaciones establecen un sistema de homologación de ciberseguridad que todos los vehículos deberán superar antes de poder ser vendidos en la dentro de la Unión Europea. Con objetivo de ayudar a fabricantes y usuarios, en esta guía se resume el origen y objetivo de estas normas, sus elementos clave y sus implicaciones para el sector automovilístico.
Cómo afrontar los nuevos riesgos de seguridad de los vehículos ‘inteligentes’ ha sido, y sigue siendo, un debate en la industria automovilística global. Para evitar que el mercado europeo se viese ocupado por múltiples tecnologías en conflicto o que pudieran poner en peligro a los usuarios y viandantes, la UNECE (Comisión Económica de las Naciones Unidas para Europa) estableció el Foro mundial para la armonización de la reglamentación sobre vehículos (más conocido por su código de grupo de trabajo en la comisión: WP.29).
En este foro de la UNECE se reúnen, no solo representantes de los países miembros de la Unión Europea, si no también delegados de fabricantes y países críticos para la industria automovilística europea y global. El WP.29 establece debates y comités de trabajo que lideran la elaboración de regulaciones y estándares automovilísticos con el objetivo de asegurar la coordinación entre países y fabricantes, de forma que un automóvil pueda venderse y utilizarse en cualquier país asociado al estándar, con el mismo nivel de seguridad.
Aunque el WP.29 trata múltiples temas: seguridad pasiva de los elementos del diseño del vehículo, emisión de ruido y contaminantes, características de los neumáticos… Muchos de sus esfuerzos en los últimos años se han enfocado en el reto de la ciberseguridad en vehículos, con el objetivo de adelantarse a los potenciales riesgos que supondría una adopción desorganizada e improvisada de las nuevas tecnologías en los nuevos vehículos. Para ello, se han adoptado conceptos probados de la ciberseguridad en entornos industriales, una visión integral de la ciberseguridad que engloba todos los aspectos del fabricante y del producto final en un sistema de gestión. Esto quiere decir que todos los elementos del sistema electrónico del vehículo deben tener en cuenta cómo afectan a la ciberseguridad del conjunto, de la misma forma que todos los elementos de la cadena de suministro deben participar para asegurar el nivel de ciberseguridad objetivo en el resto de las fases del ciclo de vida del vehículo.
También, se considera que la ciberseguridad se crea en la operativa diaria, por lo que las medidas de seguridad son de poca utilidad si no se configuran y se gestionan durante todo el ciclo de vida del sistema. Para ello, la normativa también establece requisitos para la gestión de la ciberseguridad en los sistemas del vehículo y en su relación con el fabricante y el usuario final durante su mantenimiento tras la compra inicial.
Este enfoque se materializa en la homologación de ciberseguridad para vehículos. A la homologación ya establecida para los riesgos regidos por la legislación actual, señalizada por el símbolo de una ‘E’:
Un vehículo con esta homologación debe contar también con los indicadores de los riesgos (regulaciones) para los que está homologado. De esta forma, tras la entrada en vigor de la nueva regulación, los vehículos deberán contar con los códigos R155 (gestión de la ciberseguridad) y R156 (gestión de las actualizaciones de ciberseguridad).
Views: 2
