«2022 fue un año de retos»; «nos estamos convirtiendo a la electro-movilidad»; «el año pasado fue desafiante»; «la guerra de Ucrania es una tragedia humana con graves repercusiones»… Si lees la gran mayoría de los informes anuales elaborados por los principales actores del mundo de la automoción para referirse a lo que ha sido 2022 para sus empresas, comprobarás que sus máximos responsables dedican al inicio de estas memorias, unas líneas en las que casi todos suelen coincidir.
Pero, ¿se acuerdan los fabricantes de la ciberseguridad vinculada al automóvil… incluso en el momento de hacer balance de lo que ha supuesto el 2022, un año histórico porque, de acuerdo a la normativa UNECE/R155, desde julio ya es obligatorio que los vehículos de nueva homologación sean ciberseguros por ley?
Para ver lo que la palabra ‘ciberseguridad’ significa para los fabricantes, hemos hecho un repaso de los informes anuales de dos ‘de los grandes’ del sector automovilístico europeo y, más concretamente, a dos de las firmas más reconocidas, como Audi y BMW. ¿Cuántas veces hablan de la materia en sus 155 y 344 páginas, respectivamente?
BMW: eléctrica, digital, circular… ¿cibersegura?
Comenzando por el fabricante de la marca de la hélice, en su informe anual emplean un total de nueve veces el término ‘ciberseguridad’. La primera de ellas es para hacer referencia… a lo que quieren que sea su 2023, su año «de experiencia digital», asegurando que será un año clave para la compañía ya que darán «un verdadero impulso digital a nuestros vehículos y a nuestra compañía en su conjunto».
A continuación, añaden que para lograrlo, lo van a acompañar del «lanzamiento del programa de capacitación más grande jamás realizado por la Compañía para todos los gerentes, las funciones que no son de producción y la Junta Directiva. Inteligencia Artificial, ciberseguridad, el metaverso: nuestro impulso de digitalización llega exactamente en el momento adecuado». Demuestran, con buen criterio, que la formación y el aprendizaje en ciberseguridad -sobre todo aplicado al área de la automoción y la movilidad; una de las especialidades del Grupo CYBENIA– es un aspecto vital.
La siguiente de las referencias aparece en la página 96 de las 343 que tiene este informe; en el epígrafe ‘Conectividad Segura’, comentan que la responsabilidad de BMW Group por sus productos incluye «la transmisión segura de datos del vehículo a terceros».
Aclaran que los vehículos del Grupo no están conectados directamente a Internet, sino que se comunican directa y exclusivamente con las instalaciones de back-end de BMW ConnectedDrive «a través de una conexión segura dentro de una red privada virtual». Consideran que, con esta estrategia, consiguen que BMW minimice el riesgo «de que terceros no autorizados accedan al propio vehículo o a cualquiera de sus datos confidenciales».
Además, añaden que el punto de acceso a Internet se controla a través de una puerta de enlace. «Vemos este enfoque de acuerdo con el estándar ISO 20078 -referente a ‘Vehículos de carretera -Servicios web de vehículos ampliados (ExVe)’- como la mejor solución para proporcionar seguridad y protección de datos sobresalientes y cumplir con los requisitos legales de ciberseguridad -como, por ejemplo, la normativa UNECE/R155-«.
Respecto a la UNECE/R155, llevamos tiempos hablando sobre ella en HackerCar y de cómo es de obligado cumplimiento para todos los nuevos modelos que se homologuen desde julio del año pasado y cómo lo será para todos los modelos nuevos a la venta desde julio de 2024.
Si continuamos avanzando, dentro del apartado ‘gestión de riesgos en compras’, se explica que «para evitar los riesgos cibernéticos y brindar una protección adecuada, analizamos toda la cadena de valor. BMW Group espera que sus socios proporcionen evidencia de un nivel de seguridad preventivo y receptivo. Exigimos a nuestros socios que proporcionen certificados de seguridad de la información de acuerdo con el estándar automotriz TISAX, y monitoreamos su implementación».
«Los análisis colaborativos de seguridad de TI y un intercambio constante de información refuerzan adicionalmente la resiliencia en la red de proveedores», afirman desde la marca bávara. La concienciación sobre los riesgos cibernéticos se aumenta internamente a través de campañas de formación e información. Externamente, BMW Group apoya a sus socios comerciales «con un flujo regular de información».
Por lo tanto, se comprueba que para una determinada marca -no ya solo del sector del automóvil-, el hecho de querer ofrecer el mejor nivel de ciberseguridad, también es algo que depende de todos los que trabajan o colaboran con ella.
La ciberseguridad también es mencionada porque es vista como uno de los posibles motivos por los que un fabricante se vea obligado a detener su producción, lo cual es considerado uno de los principales daños que puede experimentar una marca. «Las interrupciones en la producción pueden ser causadas por cuellos de botella en los proveedores, escasez de recursos de producción como gas o electricidad y también por problemas de logística. La tecnología de la información está desempeñando un papel cada vez más importante y, como resultado, los fallos informáticos -por ejemplo, debido a ataques cibernéticos- pueden causar problemas en la producción».
Poco después, y para evitar que esto último pueda ocurrir, aseguran que «se toman medidas para prevenir y contrarrestar daños en los equipos de fabricación y tiempos de inactividad más prolongados debido a ataques cibernéticos dirigidos». Asimismo -de nuevo-, le piden esfuerzos a quienes trabajan, externamente, con BMW: «BMW Group requiere que sus proveedores proporcionen pruebas de la certificación de seguridad de TI adecuada».
Para finalizar con el análisis, vemos que en la página 134, concretamente en el apartado ‘Seguridad de la información, protección de datos y TI’, se habla de una realidad tangible, y es que la constante digitalización y la automatización en todas las áreas del negocio y sus productos «ofrecen una amplia gama de oportunidades para BMW Group». Al mismo tiempo, «los requisitos de tecnología de la información (TI) con respecto a la confidencialidad, integridad y disponibilidad de la información son cada vez más estrictos».
Son conscientes de los riesgos y vulnerabilidades… derivados, incluso, de las tensiones políticas y territoriales en el mundo: «El nivel de amenaza ha seguido aumentando en los últimos años y la guerra en Ucrania también está contribuyendo al aumento de los ciberataques. Además, los requisitos legales y reglamentarios son cada vez más estrictos en todo el mundo. Los ciberataques pueden estar dirigidos a aplicaciones o funciones del vehículo. En vista de la mayor incidencia de ataques observados, el nivel de riesgo, a pesar de las amplias medidas de seguridad, todavía se clasifica como alto».
Audi: más conciso, pero sin olvidar la ciberseguridad
Aunque puede que el informe no sea tan extenso y detallado como el de su compatriota alemana, el tema de la ciberseguridad también aparece reflejado en cuatro ocasiones. Incluso, aunque no se haga mención específica en el documento, cabe recordar que otra marca del grupo, como es Volkswagen, ya está haciendo referencia en sus presentaciones a los medios de comunicación, al hecho de sus futuros lanzamientos ya cumplen con la normativa UNECE/R155, tal y como vimos al hablar del nuevo ID.7.
Todas las referencias aparecen concentradas en apenas un par de páginas; la primera de ellas dice, en referencia a su nuevo eléctrico Audi Q4 eTron, que la marca «ofrece una serie de características digitales. La marca Premium del grupo
Las siguientes se encuentran en el párrafo titulado «Ciberseguridad: proteger el vehículo de ataques». Comienzan asegurando que «la seguridad de los datos -incluida la ciberseguridad- se ocupa de la protección general de los datos, independientemente de que se trate o no de datos personales». Por lo tanto, la seguridad de los datos no se ocupa de la cuestión de si los datos se pueden recopilar y procesar, «sino de qué medidas se deben tomar para garantizar que estos datos estén protegidos».
Ya sean datos del cliente, del vehículo o de producción, «para Audi es muy importante que se cumplan los estándares de seguridad esenciales», continuan diciendo. Por lo tanto, consideran que la empresa mejora continuamente sus sistemas de seguridad para prevenir ataques a la infraestructura de TI en la medida de lo posible, identificar dichos ataques a tiempo y limitar sus consecuencias en la mayor medida posible. «Al hacerlo, Audi cumple plenamente con los requisitos legales», concluyen.
En otro de los párrafos, queda evidenciado que la ciber-protección es algo necesario en todo momento para Audi y que no permite ningún descanso: «Muchos equipos de expertos en seguridad de TI de varias áreas comerciales relevantes -incluidos Desarrollo, Calidad corporativa, Producción, Ventas y TI- colaboran estrechamente las 24 horas del día, los siete días de la semana, durante todo el año».
Puntualizan que esa forma de actuar «no solo se aplica al grupo de marcas Premium, sino a todo el Grupo Volkswagen en todo el mundo». Al mismo tiempo, se reconoce que «la seguridad no es un producto, sino un proceso», haciendo referencia a la definición que hizo Bruce Schneier, experto estadounidense en criptografía y seguridad informática.
Comentan que Audi «está sujeto a estándares internacionales de seguridad de la información, por ejemplo, la serie ISO/IEC 27000 que fue desarrollada y publicada por dos organizaciones internacionales y es utilizada por entidades para implementar sistemas efectivos de gestión de seguridad de la información -SGSI-«.
Aunque, seguramente, lo de mayor interés viene un poco más tarde, cuando se recoge que «la seguridad automotriz es una parte integral del desarrollo de vehículos en el Grupo Audi. La protección del vehículo y las infraestructuras de back-end es esencial en la marca, al igual que la transmisión segura de datos. Debido a que los nuevos modelos están conectados e interactúan con el mundo exterior, Audi es consciente del riesgo que los piratas informáticos representan para los sistemas del vehículo».
Por todo lo anterior, Audi prosigue diciendo que «la empresa utiliza medidas técnicas, organizativas y basadas en procesos, así como mecanismos y estándares reconocidos y probados para garantizar la debida consideración de la seguridad automotriz desde la etapa de desarrollo».
Además, aseguran que sus expertos internos en seguridad de TI «desarrollan salvaguardas desde la etapa de diseño de los sistemas e identifican y eliminan las vulnerabilidades». También hay una mención a los reglamentos R155 y R156, a los cuales consideran «sistemas certificados de ciberseguridad y gestión de actualizaciones de software que también contribuyen a la seguridad».
En la parte final, sobre esta materia, hacen alusión a la prevención de ataques mediante modernas tecnologías de encriptación: «Audi utiliza procesos como los que se emplean, por ejemplo, para la banca en línea, tanto cuando se conecta desde el automóvil como desde un teléfono inteligente al back-end de Audi«.
En línea con lo que aseguraba BMW, «los datos se almacenan de forma cifrada en los servidores de Audi y la conexión en línea a la plataforma myAudi también se realiza exclusivamente de forma cifrada». Por lo que se refiere a la comunicación entre el teléfono inteligente de un usuario y el automóvil para funciones críticas -como cuando un smartphone actúa como llave digital», «solo se permite una vez que el servidor seguro de Audi ha hecho coincidir el vehículo con el teléfono inteligente». Y terminan diciendo que «el acceso a los datos con fines administrativos está documentado de forma rastreable».
