¿Está regulada la Ciberseguridad en la Industria de la Automoción?

UN (WP.29) ECE/TRANS/WP.29/2020/79. Todo lo que necesitas saber.

Durante las últimas décadas, la industria de la automoción ha vivido una transformación vertiginosa hacia la conectividad, la automatización y la electrificación. Todo ello implica la incorporación de nuevas tecnologías que reemplazan o acompañan a las tecnologías heredadas. De esta forma, los vehículos disponen tras cada nueva generación de sistemas E/E de mayor complejidad. La aglomeración de múltiples tecnologías de diversa índole en un mismo sistema funcional, junto con su exposición al exterior al ser dotado de conectividad, supone una amplia superficie de ataque en la cual, en caso de existir una vulnerabilidad explotable, puede propiciar incidentes de ciberseguridad. Concretamente, en un vehículo de última generación, los activos afectados no son solo el sistema E/E y los datos que maneja, sino también la privacidad y protección de los usuarios del vehículo, sin olvidar a su vez a los usuarios de la vía por la que circula.

Para hacer frente a las amenazas que afectan a los nuevos vehículos, tras dos años de trabajo por parte de Naciones Unidas, concretamente del grupo de trabajo WP.29, se ha publicado en Junio de 2020 una nueva regulación, comúnmente conocida por el nombre del grupo de trabajo (WP.29) pero recogida bajo el documento Propuesta para una nueva regulación de Naciones Unidas con respecto a ciberseguridad y a los sistemas de gestión de la ciberseguridad (ECE/TRANS/WP.29/2020/79) [1]. El objetivo de este documento es establecer los requisitos de ciberseguridad a cumplir por parte de fabricantes relativos a su SGSI y a sus modelos de vehículo durante todo su ciclo de vida. Con ello se aumentan los requisitos necesarios para la homologación tipo establecidos en el Acuerdo de 1958 y sus actuales 152 adendum [2].

http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf

La fecha de aplicación obligatoria de esta nueva normativa fue enero del 2021 en los 54 países firmantes del acuerdo de 1958 y afecta a coches, furgonetas, autobuses, camiones y vehículos ligeros de cuatro ruedas que disponen de funcionalidades de automatización de la conducción de nivel tres o superior. Esto incluye vehículos que dispongan de una automatización condicional, en la que el vehículo es capaz de monitorizar el entorno y actuar de forma autónoma en consecuencia siendo supervisado por un usuario con capacidad de conducción, o niveles superiores de autonomía. Para conocer más información sobre niveles de conducción autónoma, se puede consultar el estándar SAE J3016: Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles [3]

Según se expone en una publicación del blog de UNECE [4], la nueva norma de Naciones Unidas proporciona un marco de trabajo para la industria de la automoción con los procesos necesarios para:

Identificar y gestionar los riesgos de ciberseguridad en el diseño de los vehículos.
Verificar que los riesgos son gestionados, incluido el testing.
Asegurar que los análisis de riesgos se mantienen actualizados.
Monitorizar ciberataques y responder a ellos de forma efectiva.
Análisis de apoyo sobre intentos de ataques o ataques exitosos.
Evaluar si las medidas de seguridad permanecen efectivas a la luz de nuevas amenazas y vulnerabilidades.

En la misma publicación, también se resumen los nuevos requisitos a cumplir para la homologación de sus vehículos recogidos en el reglamento:

El sistema de la gestión de la ciberseguridad se encuentra establecido y es aplicado sobre los vehículos producidos.
Disponer de análisis de riesgos, identificando lo crítico.
Medidas de mitigación para reducir los riesgos identificados.
Evidenciar a través de testing, que las medidas de mitigación funcionan como se espera.
Disponer de medidas para detectar y prevenir ciberataques.
Disponer de medidas para dar soporte al análisis forense de los datos.
Monitorizar las actividades específicas del vehículo.
Reportar a la autoridad de homologación informes de las actividades de monitorización relevantes.

En lo respectivo a las entidades técnicas encargadas de la auditoría y aprobación ante una homologación, el Reglamento define en su artículo 12 que estas han de ser comunicadas a la secretaría de la Unión Europea por parte de cada estado miembro, siendo estos encargados de la elección de las mismas.

En Europa, el Reglamento 2019/2144 del 27 de Noviembre de 2019 relativo a los requisitos de homologación de tipo de los vehículos de motor (...) [5] establece en su considerando 26 la aplicación obligatoria del nuevo reglamento de Naciones Unidas en materia de ciberseguridad, reconociendo los riesgos que implican las nuevas tecnologías de conectividad y automatización.

En caso de no cumplir el reglamento respecto las cláusulas referentes a ciberseguridad, la UE denegará la homologación tipo a partir del 6 de Julio de 2022 y la matriculación de nuevos vehículos a partir del 7 de Julio del 2024. A continuación, se muestran los fragmentos del reglamento en los cuales se especifican los conjuntos de requisitos a cumplir por un vehículo para su homologación, junto con las fechas límite establecidas. Entre ellos, se encuentra destacado el apartado D4. Protección del vehículo frente a ciberataques.

A nivel normativo, las organizaciones ISO y SAE trabajan desde su propuesta en 2016 en la norma ISO/SAE 21434 [6], centrada en establecerse como estándar de facto relativo a la implantación de un sistema de gestión de la seguridad de la información y sus procesos asociados en automoción, de cara a cumplir los requisitos impuestos en el marco legislativo. En un futuro cercano, será claro objetivo de certificación para OEMs y proveedores con el objetivo de evidenciar el cumplimiento de la regulación vigente. Actualmente, la norma se encuentra en fases finales de su creación en estado de borrador internacional (DIS), siendo sometida a votaciones y correcciones ante alegaciones. Según anuncia ISO [7], se espera que su publicación se realice a principios de este año.

En conclusión, se presenta un panorama complejo a nivel regulador y normativo, que durante los próximos años hará cumplir las tareas pendientes en materia de ciberseguridad a la industria de la automoción. De esta forma se fomenta obligatoriamente el I+D+i de nuevos procesos y tecnologías para el sector, así como la especialización de profesionales y la consolidación de nuevos campos de investigación. Las entidades reguladoras han dado un primer gran paso con la creación de las nuevas regulaciones, ahora la industria debe demostrar su compromiso, que por el momento, como consumidor, no se aprecia.