Empresas Tendencias

Por qué el Grupo VW utiliza hasta en 24 ocasiones la palabra ‘ciberseguridad’ en su último informe anual

Durante el primer trimestre del año, las marcas aprovechan para hacer balance de lo que fue el ejercicio anterior. Una vez cuadrados todos los números y analizados los hitos conseguidos, lo plasman en extensos documentos. El del Grupo VW tiene 468 páginas; ¿cuántas veces se acuerda de la ciberseguridad?

Imagen del CEO de VW en la presentación del informe anual
Foto: Volkswagen

Vivimos un momento importante en lo relacionado con la ciberseguridad y la automoción. No hay más que recordar que, desde julio de 2022, todos los vehículos de nueva homologación en Europa -y todos los coches nuevos que estén a la venta desde julio de 2024- deben contar con un certificado que demuestre que son ciberseguros. Es la consecuencia de la aplicación de normativas como la UNECE/R155 y la R156.

Por eso, no es sorprendente que tanto en sus hojas de ruta ‘a futuro’ como en los documentos donde hacen balance de anteriores ejercicios, saquen a relucir el tema de la ciberseguridad; no solo aplicado a sus vehículos, sino a las medidas que toman como empresa en relación a sus fábricas, sus servidores, sus empleados…

Durante el 2023 estuvimos publicando varias noticias al respecto, donde repasábamos los ‘tradicionales’ informes anuales de algunas marcas muy importantes, como Mercedes, Audi, BMW y Volvo. Ahora, cuando afrontamos el cierre del primer trimestre de este 2024, comienzan a publicarse los datos y resultados de lo que fue el año anterior. Y una de las más esperadas, como siempre, es la del Grupo Volkswagen. No en vano, hablamos de uno de los principales actores del sector.

Más allá de los puros datos económicos -con muy buenas cifras de lo que denominan el grupo de marcas Core, es decir, las de más volumen: Audi, Cupra, Seat, Skoda y Volkswagen-, lo que nos hemos querido es preguntar en cuántas ocasiones se ha referencia al concepto de la ciberseguridad en el extensísimo documento -468 páginas- publicado con fecha del 13 de marzo de 2024. Pues bien, en total aparece en 24 ocasiones.

Todas ellas, concentradas entre las páginas 184 y 262. La primera de las menciones aparece dentro de un párrafo titulado ‘calidad’. Se hace una primera visión global del concepto de ciberseguridad, cuando aseguran que: “Volkswagen lleva un tiempo implementando medidas de ciberseguridad en toda la Compañía. Por ejemplo, contamos con una red de ciberseguridad independiente en todas las regiones y marcas del Grupo y monitoreamos los posibles riesgos cibernéticos. Esto nos permite actuar rápidamente cuando surgen amenazas potenciales”.

Asimismo, también son plenamente conscientes, y así lo reflejan, de la existencia de normativas de ciberseguridad que ya están afectando a sus productos; en concreto, comentan que “desde junio de 2022, la UNECE -Comisión Económica de las Naciones Unidas para Europa- prevé la correspondiente certificación y homologación para que las empresas puedan garantizar que estos aspectos se tratan adecuadamente para proteger a los usuarios de nuestros vehículos de posibles ataques”. Poco después hacen referencia a que aplican estándares que garanticen tanto la seguridad ‘tradicional de sus empleados -la que evita ‘accidentes’- como la seguridad “en el marco de un Sistema de Gestión de Ciberseguridad Automotriz de acuerdo con los requisitos de la normativa UNECE”.

Ciberseguridad: No solo en cada coche, sino en toda la empresa

Más adelante, se refleja el hecho de que en VW -como otros grupos- la parte IT desempeña un papel cada vez más importante en su actividad como empresa, en todas las áreas: “Cadenas de suministro digitalizadas, procesos de producción automatizados y optimizados para Al, gestión basada en datos de los objetivos de sostenibilidad y una perfecta integración de la experiencia del cliente analógica y digital son elementos de esta transformación”.

Centrándose más en lo que es el vehículo, en la página 194 hablan de que “la tarea de la ciberseguridad en el sector del automóvil es evitar los ciberataques a nuestros vehículos durante todo el ciclo de vida del producto, así como al ecosistema del vehículo digital”. Una vez más, sacan a relucir que las políticas que emplean “están basadas en los requisitos legales de la regulación UNECE“; y que partiendo de esa base definen e implementan directrices organizativas específicas para cada marca del grupo. Con todo, aseguran que para proteger a sus clientes contra ciberataques han establecido sistemas de gestión de seguridad integrados entre marcas y entre regiones.

Se comenta también en el informe que “el sistema de gestión de ciberseguridad requerido por el Reglamento 155 de la UNECE recibió la certificación CSMS de la UNECE en 2021 y se somete a auditorías de seguimiento anuales” -dicen que la más reciente fue a mediados de 2023″. Afirman que desde 2022, “salvaguardar el ciclo de vida completo de nuestros vehículos y servicios de movilidad digital ha sido parte de las operaciones estándar”.

Desde un punto de vista operacional, el grupo VW es consciente de que la adaptación de sus vehículos a normativas nuevas -como el reglamento de la UNECE- u otras que ya existían, pero se han modificado -como el procedimiento WLTP centrado en consumos y emisiones-, puede afectar al ritmo de producción en sus fábricas, ya que hay modelos cuya fabricación es posible que se detenga hasta que se realicen los cambios apropiados en los modelos.

Creen que la ciberseguridad es ‘cada vez más importante’

En la página 239 aparecen las frases más interesantes relacionadas con la ciberseguridad y el contexto actual del sector del automóvil. “Con la creciente complejidad técnica de los vehículos debido a su conectividad interna y externa, y las plataformas y sistemas de herramientas que se utilizan en todas las marcas, se debe garantizar la calidad de las piezas y componentes de software suministrados. Esto hace que la ciberseguridad sea cada vez más importante”.

Para respaldar esa afirmación, aseguran que con el fin de monitorear y gestionar mejor el riesgo de ataques cibernéticos a sus vehículos en el futuro, están optimizando de manera continua los sistemas de gestión de ciberseguridad automotriz “en todas las marcas del Grupo” y que intercambian información sobre procesos y productos entre las marcas. “El objetivo es proteger a los clientes y a nuestros productos”.

Ese trabajo y coordinación entre sus marcas es lo que consideran que les va a permitir una rápida capacidad de reacción en caso de un ataque, de modo que cualquier debilidad en sus productos pueda eliminarse con rapidez. “El Sistema de Gestión de Ciberseguridad Automotriz es una parte integral de nuestro sistema de gestión de calidad, que nos ayuda a aprovechar sinergias con estructuras ya existentes. Este enfoque sirve para cumplir los requisitos legales del reglamento de la UNECE sobre ciberseguridad”.

El otro gran riesgo que están afrontando las marcas

Lo venimos contando en los últimos tiempos: los fabricantes de vehículos se han convertido en víctimas muy ‘apetecibles’ de los crackers, debido a que manejan ingentes cantidades de información que puede ser robada, filtrada… y cuya recuperación puede suponer el pago de un rescate. Aunque el ‘riesgo cero’ no existe en ninguna empresa, en el caso de un gigante de la automoción como el Grupo Volkswagen resulta aún más complicado ‘cerrar todas las puertas’, de cara a evitar posibles intrusiones.

Con todo, también en el informe anual de 2023, el fabricante alemán dedica varios párrafos a tratar el asunto. Son conscientes de que la tecnología de la información IT está asumiendo un papel cada vez más importante en toda la empresa. Y en cuanto a los riesgos, mencionan aspectos como “el acceso no autorizado, la modificación y la extracción de datos electrónicos confidenciales corporativos o de clientes”. Manejar los datos de manera adecuada se plantea como la cuestión clave para garantizar su integridad, aseguran.

En otro punto comentan al igual que ya tienen muy en consideración la ciberseguridad de sus productos, también se toman muy en serio “la forma en que manejamos los datos de nuestros clientes y empleados”. Aquí, vuelven a hacer referencia a la regulación de ciberseguridad UNECE/R155, que define los requisitos que deben cumplir a la hora desarrollar sus vehículos y software pero que, a su vez, “tiene un gran impacto” en sus sistemas IT.

Entre las medidas que utilizan para que datos e información permanezcan a salvo, dicen que contrarrestan el riesgo de acceso no autorizado, modificación o extracción de datos corporativos y de clientes “mediante el uso basado en riesgos de tecnologías de seguridad de TI, como sistemas de seguridad modernos para detectar malware y comportamientos maliciosos”. También llevan a cabo revisiones periódicas de los permisos de acceso a según qué sistemas, así como de identidad. Para evitar la destrucción de datos, han diseñado sistemas con redundancia y han implementado estrategias de respaldo.

Qué les ha faltado por contar

Queda claro que la ciberseguridad juega un papel importante para el Grupo Volkswagen; sin embargo, a la hora de hablar de las certificaciones de ciberseguridad en sus vehículos, en un informe tan extenso y detallado habría sido una buena ocasión para incluir más datos sobre qué empresas o entidades están llevando a cabo las certificaciones de sus vehículos -sin ir más lejos, el reciente VW ID.7 eléctrico-.

Cabe recordar que Euskadi fue pionera en todo el mundo por haber desarrollado y entregado, precisamente, el primer certificado que mide el nivel de ciberseguridad de un vehículo. Allí se encuentra la empresa tecnológica EUROCYBCAR, cuya CEO y fundadora es Azucena Hernández. El conocido como ‘Test EUROCYBCAR’ fue el primer producto en el mercado capaz de medir y certificar la ciberseguridad de un vehículo, y hacerlo basándose en una metodología propia, la ESTP, con patente internacional.

El Test, compuesto de numerosas pruebas de acceso físico, remoto y a la app del vehículo, sirvió de inspiración para la normativa UNECE/R155 a la que, en varias ocasiones, el grupo Volkswagen hace referencia en su memoria anual.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.