Desde la Unión Europea se han puesto en marcha múltiples iniciativas para incrementar la seguridad de las infraestructuras de transporte y adecuarlas a los retos actuales de ciberseguridad. Hoy en día existen ya regulaciones específicas para fabricantes de vehículos que permiten reducir el riesgo por ciberataque frente a los futuros vehículos autónomos.
Desde 2012 se han registrado más de 400 ataques informáticos que afectan a automóviles de 43 marcas en todo el mundo. Para acabar con esa vulnerabilidad, la ONU aprobó en junio de 2020 una normativa que obliga a que todos los coches cuenten con un certificado de ciberseguridad. No la han adoptado en EEUU, pero sí en Japón, Corea del Sur y la UE, donde entró en vigor el pasado 1 de enero. Será obligatoria para las homologaciones de nuevos modelos a partir de julio de 2022. Y en julio de 2024 no se podrá vender ningún automóvil que no disponga de esa certificación. Afecta a coches, furgonetas, autobuses, camiones, autocaravanas y remolques, estos últimos siempre que lleven algún control electrónico.
Ciberataques a transportes
Si nos centramos en ataques dirigidos a vehículos, ponemos de ejemplo un caso extremo en el que el nivel de autonomía de una gama concreta de vehículos autónomos ha sido atacado y genera un comportamiento errático en la vía. ¿A quién afectaría el incidente?
- A los ocupantes de los vehículos comprometidos.
- Al fabricante del vehículo, ya que es quien deberá desplegar las primeras medidas de respuesta.
- A las fuerzas y cuerpos de seguridad, dado que se estará poniendo en riesgo la integridad de las personas.
- Al operador de la infraestructura, porque afectará a toda la gestión viaria.
Conscientes de estos riesgos, desde la Comisión Económica de las Naciones Unidas para Europa (UNECE) se está promoviendo una regulación específica de seguridad en este ámbito, que verá su luz este año 2020.
Esta regulación consiste en dos partes:
- CSMS (Cyber Security Management System): Los fabricantes de los vehículos deberán obtener una certificación por parte de la agencia pública confirmando que disponen de un sistema de gestión de ciberseguridad del vehículo en todas sus fases.
- Type approval: Además de la certificación de los fabricantes se va a exigir que cada modelo concreto de vehículo se certifique en ciberseguridad y se demuestre que ha seguido todos los pasos definidos en el CSMS global del fabricante.
Aunque las compañías llevan tiempo trabajando en ello, muchas veces contratan a hackers blancos para que les descubran las fallas. La norma les obliga a crear un protocolo que garantice la protección frente a 70 amenazas de todo tipo. Desde un ataque a la nube a la que se conecta el coche, hasta el robo de datos.
Es de extrañar que ni la ONU ni la UE han fijado las medidas a tomar por los fabricantes ni las pruebas a superar para lograr el apto. Ni quién las debe llevar a cabo. Sólo que esa validación la tendrá que realizar un organismo independiente, no el fabricante por su cuenta.
La empresa española pionera en los coches ciberseguros
Eurocybcar, en esta compañía española los responsables afirman haber desarrollado un protocolo de ensayos que responde a las 70 amenazas a combatir. «No tenemos constancia, a nivel internacional, de que haya otra empresa que lo hayan conseguido» asegura José Guerreira, responsable de normativa y legislación. También señala que «nadie puede garantizar que los coches estarán 100% protegidos». Romper las actuales defensas solo es cuestión de ganas, tiempo y dinero».
Por este motivo las certificaciones duran tres años y después se deben renovar. Los primeros vehículos certificados serán un coche, un camión y un autobús fabricados en España. Violar éstas homologaciones técnicas y de consumo, referidas a la ciberseguridad, estará castigado con la misma sanción: hasta 30.000 euros por coche vendido e incluso la retirada de ese modelo del mercado.
Los objetivos son claros y orientados a la protección de la seguridad física de las personas, la privacidad de estas y la operación de la actividad de transporte por carretera.
Noticia publicada en Cibersecurity News