Expertos HC

¿Cómo cambiarán los coches por las próximas leyes de ciberseguridad?

Las futuras leyes de ciberseguridad para vehículos obligarán a los coches y a sus fabricantes a transformarse para poder cumplirlas. ¿Cómo serán esos cambios?

Ciberataques coches: Imagen de un coche futurista con las puertas abiertas, mostrando su interior
Foto: Piqsels.

El aumento de la conectividad está provocando una disrupción generalizada en la industria automotriz. Según Frost & Sullivan, los vehículos conectados supondrán casi el 86% del mercado automotriz mundial para 2025. Esto dará lugar a muchos puntos de amenaza que puedan aprovechar los piratas informáticos.

Los ciberataques y los incidentes de filtración de datos plantearán graves riesgos para la industria automotriz, ya que afectan directamente la seguridad del conductor, la privacidad de los datos y la continuidad del servicio. Por lo tanto, las pautas adecuadas y las regulaciones serán fundamentales para garantizar la seguridad de los clientes de automóviles a corto y largo plazo.

De hecho, uno de los problemas hasta ahora ha sido la falta de estándares claros y aplicables para el ecosistema de vehículos conectados. Sin embargo, estamos seguros de que la industria está preparada para dar la vuelta a la tortilla con el surgimiento de dos iniciativas de ciberseguridad en vehículos muy necesarias: la regulación WP.29 de la Comisión Económica para Europa de las Naciones Unidas -UNECE- y la norma ISO/SAE 21434.

Iniciativas de ciberseguridad en vehículos

En los últimos años, agencias como la Administración Nacional de Seguridad del Tráfico en Carreteras, la Agencia de la Unión Europea para la Seguridad de las Redes y la Información, la Asociación Europea de Fabricantes de Automóviles, la Sociedad de Ingenieros Automotrices y Auto-ISAC, entre otras, han publicado sus estándares de ciberseguridad. Estos han buscado difundir la conciencia y la comprensión mientras ayudan a los participantes del ecosistema a construir vehículos y sus componentes seguros.

Sin embargo, hasta la fecha, no ha habido estándares de seguridad obligatorios oficialmente para la industria automotriz en su conjunto. La falta de un marco de seguridad estandarizado para el ecosistema de vehículos conectados ha dejado a los coches profundamente expuestos a los ciberataques.

«Las dos normas son complementarias entre sí, ya que ambas preparan a la industria automotriz para hacer cibersegura a una nueva generación de vehículos conectados»

Pero se espera que esta situación cambie a partir de 2021. Todo gracias a un dúo de iniciativas/estándares prometedores, la WP.29 de la UNECE y la ISO/SAE 21434, que están creando corrientes positivas en la industria automotriz. Si bien el estándar ISO/SAE aún se encuentra en la etapa de redacción, el WP.29 fue adoptado por el Foro Mundial de Armonización de Regulaciones de Vehículos de la UNECE en junio de 2020 y se espera que entre en vigor en enero de 2021. Las dos normas son complementarias entre sí, ya que ambas preparan a la industria automotriz para hacer cibersegura a una nueva generación de vehículos conectados.

ISO/SAE 21434: Énfasis en la seguridad por diseño

La norma ISO/SAE propone establecer un terreno común para la seguridad entre los fabricantes de equipos originales y los proveedores de automóviles. Este estándar también exige la adopción de un marco de ciberseguridad eficaz en todas las etapas del ciclo de vida de un vehículo. Desde el diseño, desarrollo y producción hasta el desmantelamiento. Además, define claramente los procesos para el análisis de amenazas, la evaluación y la gestión de los riesgos cibernéticos en cada etapa. Los OEM y otros participantes de la cadena de suministro deben cumplir con este estándar para garantizar que todos los vehículos, componentes de hardware y software, redes, canales de comunicación y plataformas de conectividad estén seguros.

Este estándar establecerá la ciberseguridad como parte integral de todo el ecosistema de vehículos conectados. Con ello, limitará los puntos vulnerables en la cadena de suministro.

WP.29: Asegurar el ciclo de vida del vehículo de un extremo a otro

A diferencia de ISO/SAE, la regulación WP.29 coloca la responsabilidad de gestionar los riesgos cibernéticos a lo largo de toda la cadena de suministro en los OEM. Enfatiza la necesidad de que los OEM adopten un enfoque de seguridad integral centrado en cuatro principios distintos:

  • Implementar la seguridad por diseño durante el desarrollo del vehículo.
  • Proporcionar detección y protección de intrusiones para toda la flota de vehículos.
  • Gestione los riesgos cibernéticos de los vehículos durante todo el ciclo de vida.
  • Establezca canales de comunicación seguros para actualizaciones inalámbricas.

Estos principios se pueden lograr a través de dos requisitos clave del reglamento: la aprobación de los sistemas de gestión de ciberseguridad -CSMS- y la aprobación de tipo de vehículo.

Aprobación del CSMS. Este requisito obligará a los fabricantes de equipos originales a crear un marco de evaluación y mitigación de amenazas dentro de sus organizaciones. Los OEM tendrán que demostrar que su CSMS maneja adecuadamente la identificación, categorización y corrección de amenazas durante el desarrollo del vehículo y durante todo su ciclo de vida.

Más de 30 amenazas, incluida la suplantación de mensajes, violación de datos, manipulación no autorizada de códigos/datos del vehículo, ataques de denegación de servicio, acceso de usuarios sin privilegios y transmisión de contenido malicioso, se compilan en el documento de regulación. Para adquirir el certificado de cumplimiento, los OEM deben asegurarse de que su CSMS identifica la lista completa de amenazas y proporciona las mitigaciones relevantes para cada una de las amenazas mencionadas en el reglamento.

Aprobación de tipo de vehículo. La segunda parte del reglamento detalla los diversos pasos que debe cumplir un OEM para recibir las aprobaciones de tipo de vehículo nuevo. Las autoridades reguladoras probarán si la arquitectura del vehículo y los procedimientos de evaluación de riesgos se están implementando y ejecutando de acuerdo con los mandatos en la regulación. Esta regulación también requiere que los OEM verifiquen la seguridad de los componentes de los proveedores que se utilizan en sus vehículos. Los fabricantes de automóviles pueden seguir las pautas de las directrices ISO/SAE 21434 relacionadas con la creación de procesos estructurados de ciberseguridad durante el desarrollo de vehículos.

Aunque tanto el estándar ISO/SAE como el WP.29 dictan procedimientos eficientes para la gestión de la ciberseguridad, no proporcionan intencionalmente especificaciones de nivel técnico. Esto permite a los OEM decidir creativamente qué indicadores clave de tecnología de ciberseguridad que cumplen con los requisitos. Este es un enfoque inteligente, porque las medidas técnicas rígidas podrían resultar contraproducentes en el cambiante mundo de la ciberseguridad.

¿Están los fabricantes de automóviles equipados para manejar el cambio?

Se espera que el WP.29 afecte las aprobaciones de nuevos tipos de vehículos en más de 60 países una vez que entre en vigencia. El reglamento se aplica a las partes contratantes del Acuerdo de 1958 de la CEPE, que incluye países específicos de Europa, África y Asia-Pacífico. Estados Unidos y Canadá, que no fueron signatarios del acuerdo de 1958, están, por lo tanto, exentos de este reglamento. Sin embargo, se espera pronto una decisión sobre la posible inclusión de EE. UU. y Canadá en la lista de países regidos por la regulación.

Los vehículos deberán cumplir con los requisitos WP.29 para poder venderse en estos países. Por lo tanto, los OEM deben comenzar a identificar brechas y elaborar nuevas hojas de ruta de procesos para cumplir con WP.29.

Si bien hoy en día existen muchas empresas de ciberseguridad en el mercado para ayudar a los fabricantes de equipos originales a proteger sus vehículos en la fase de diseño/desarrollo, la necesidad de construir un CSMS sólido y monitorear los riesgos de seguridad en todo el ciclo de vida del vehículo se ha vuelto crítica. La limitada experiencia técnica de los OEM y los enormes costes iniciales involucrados en la ejecución de nuevos procesos desafiarán la implementación interna. Los estrictos plazos para cumplir con WP.29, principalmente a mediados de 2022 para los vehículos de nueva homologación, lo harán aún más desafiante para los OEM.

«Asegurar que se cumplan los requisitos de seguridad en toda la cadena de valor es complicado y requiere esfuerzos continuos de colaboración con los proveedores»

Asegurar que se cumplan los requisitos de seguridad en toda la cadena de valor es complicado y requiere esfuerzos continuos de colaboración con los proveedores. Frost & Sullivan cree que los fabricantes de equipos originales buscarán lograr el cumplimiento de la próxima regulación WP.29 iniciando asociaciones con empresas de terceros -proveedores de tecnología, socios de seguridad, firmas de consultoría y expertos de la industria, entre ellos- para servicios de consultoría de ciberseguridad, establecer CSMS, gestionar los riesgos de la cadena de suministro y realizar comprobaciones de auditoría y certificación. Los plazos estrictos, la necesidad de realizar controles exhaustivos en grandes volúmenes de vehículos y los presupuestos de auditoría limitados harán que los OEM dependan de soluciones de terceros. Algunos OEM que están desarrollando experiencia interna en seguridad e informática o contratando CDO/CIO preferirán administrar su arquitectura de seguridad internamente.

Qué esperar en el futuro

Creemos que la normativa generará nuevas oportunidades en la industria:

  • Las nuevas empresas entrarán en el ecosistema con técnicas avanzadas de detección de intrusos y servicios gestionados de ciberseguridad, desafiando así la dinámica competitiva actual.
  • Las empresas de seguridad automotriz existentes que se especializan en protección de seguridad a bordo mejorarán sus soluciones para incluir CSMS de vehículos para seguir siendo relevantes en el mercado
  • Las empresas de servicios informáticos ampliarán su cartera al mercado de ciberseguridad automotriz para ofrecer servicios de ciberseguridad de back end y talento informático para gestionar los CSMS construido por los OEM.
  • Los proveedores automotrices comenzarán a ofrecer componentes de vehículos de seguridad por diseño, CSMS y servicios de consultoría especializados para ayudar a los OEM a cumplir con las regulaciones.

Para concluir, será un camino interesante y un poco accidentado para los OEM a medida que se embarcan en la identificación de brechas de seguridad, decidiendo con quién asociarse, seleccionando qué herramientas/tecnología adoptar y determinando cómo establecer nuevos procesos que cumplan con las regulaciones.

Lograr gestionar la ciberseguridad en todo el ciclo de vida del vehículo y la cadena de valor automotriz es el objetivo final de los OEM. Pero las colaboraciones complejas y exitosas con los socios del ecosistema permitirán que este objetivo se convierta en realidad. La industria automotriz está preparada para adoptar la SEGURIDAD como un pilar vital en su viaje de transformación digital, alentando su transición de ser un elemento importante en la arquitectura de vehículos a ocupar un papel más central en el ecosistema de vehículos conectados y entre los OEM automotrices.

*Artículo escrito por Dorothy Amy y Niranjan Manohar y publicado originalmente en Frost Sullivan.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.