Consejos HC

Los esquemas de certificación y su influencia en el automóvil

Antes de poder certificar el nivel de ciberseguridad de un producto, es necesario someterlo a un proceso regulado y estandarizado. Éste es el camino que está llevando a cabo la Unión Europea.

Cuando los analistas convienen en afirmar que estamos ante la gran era de la ciberseguridad, no se trata -ni mucho menos- de predicciones sin fundamento. Más bien al contrario, se apoyan en hechos como el aumento exponencial de dispositivos que utilizamos en nuestro día a día… y que precisan de una conexión a Internet.

Así, por ejemplo, una nevera capaz de controlar y catalogar los alimentos guardados en ella, nos ofrece encargar directamente al supermercado lo que esté a punto de agotarse. Un solo botón puede realizar muchas acciones en el hogar, tales como bajar las persianas o activar la alarma. Y, por supuesto, una miríada de elementos de un coche actual nos hacen la vida más fácil gracias a esa misma conectividad.

Pero, de igual manera, pueden complicárnosla si nos topamos con un cracker capaz de atacar estos dispositivos y servirse de ellos para amenazar nuestra privacidad… o nuestra integridad física. Un peligro que ya no es ciencia-ficción: los casos se cuentan cada día por miles.

De cara a proteger estos dispositivos frente a tal amenaza, tanto las empresas como las instituciones están tomando medidas. En su caso, estas últimas centran sus actuaciones en la creación de marcos legales que permitan analizar y certificar el nivel de ciberseguridad de un dispositivo conectado.

El ejemplo de la UE

En el contexto de la Unión Europea, la legislación sobre esta materia se encuentra aún en desarrollo. No obstante, cuando esté completa, se articulará en torno a tres ‘niveles’. Como ‘primer paso’, figura el conocido como ‘Cybersecurity Act’, elaborado por la agencia ENISA -Agencia de la Unión Europea para la Ciberseguridad- y vigente desde 2019.

Se trata de un texto que, en líneas generales, define la necesidad de que cada sistema, producto o proceso conectado cuente con un certificado de ciberseguridad. Para ello, configura una serie de normativas de amplio espectro. No obstante, a fin de garantizar que el proceso de certificación se ajusta a las características intrínsecas de cada objeto, ENISA prevé un ‘segundo nivel’ legislativo, el cual debe dejar claros los requisitos a exigir, así como los estándares y procedimientos a emplear durante la evaluación y certificación.

Así, esta agencia europea trabaja ahora en la creación de diversos esquemas de certificación, los cuales ofrecerán -a su vez- a las entidades la base que necesitan para crear sus certificados de ciberseguridad. Dada la gran diversidad de productos y servicios digitales disponibles en el mercado, la estrategia europea pasa por centrar cada esquema en una determinada área tecnológica.

Algunos de ellos ya están en desarrollo, siendo el Esquema de Certificación Europeo de Ciberseguridad el más avanzado. No en vano, su primera versión -la 1.0- fue publicada por ENISA en julio de 2020, y ya cuenta con una actualización en trámite -la 1.1.1-. También conocido por sus siglas ‘EUCC’, este esquema está enfocado a los productos TIC. Esto es, los relacionados con tecnologías de información y comunicación, como -por ejemplo- tabletas, smartphones o televisores inteligentes.

Croquis del Etiquetado EUCC
Esquema de las características que deberá poseer el distintivo de certificación, de acuerdo con el EUCC (Fuente: Enisa)

Cuando entre en vigor -en torno a 2022-, impondrá a sus fabricantes una serie de obligaciones de ciberseguridad que deberán cumplir sus productos antes de ser comercializados en el territorio de la Unión Europea. Aquellos que lo logren, recibirán el certificado y un distintivo que lo catalogará como ‘producto ciberseguro’.

Una vez vigente, el EUCC reemplazará automáticamente los esquemas de certificación actuales a nivel continental -SOGIS, etc.-, así como también los de aplicación nacional en cada uno de los Estados miembros de la UE.

Los coches conectados tendrán el suyo

En paralelo al EUCC, existen también otros esquemas de certificación, en fases de desarrollo más tempranas. Entre ellos se encuentran los dirigidos al 5G o a los servicios en la nube. Y, tras éstos -aunque aún no se tienen noticias-, debería llegar uno dedicado específicamente a los vehículos conectados.

La razón es simple: si bien algunas tecnologías de conectividad presentes en ellos-como WiFi, GPS, Bluetooth…– ya podrían, en teoría, analizarse y calificarse según lo dispuesto en el EUCC, aspectos específicos como la gestión del propulsor o el lenguaje propio de comunicación entre componentes -CAN-BUS- quedarían fuera de su alcance.

Por el momento, a falta de este esquema europeo, ya existe una certificación en el ‘tercer nivel’, con la cual ya trabajan fabricantes e instituciones: el Test EUROCYBCAR. Se trata de un test único en el mundo -creado por la empresa vasca EUROCYBCAR-, que mide y certifica el nivel de ciberseguridad de toda clase de vehículos -motocicletas, turismos, furgonetas, camiones, autocares y remolques-.

Y lo hace de acuerdo con la normativa internacional UNECE/R155, la cual especifica una exhaustiva lista de 70 requisitos. Éstos abarcan tanto la ciberseguridad física, como la ciberprotección de las funciones de conectividad y de las aplicaciones compatibles con el vehículo y ofrecidas por el constructor.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.