Riesgos de la Ciberseguridad en los vehículos: un ordenador con ruedas
Riesgos de la Ciberseguridad en los vehículos: un ordenador con ruedas
Tanto el título como el resumen que hemos expuesto viene recogido en el artículo de Enrique Zapico, responsable de Mobility Lab en la revista Cesvimap, el cual nos pone en alerta sobre los nuevos riesgos que presenta la desbocada invasión de las tecnologías para la seguridad vial.
“El problema de la ciberseguridad de los vehículos es que alguien puede controlar, de forma remota, su dirección eléctrica, frenos o acelerador electrónico…. Por eso se hizo necesario establecer alguna normativa que garantizase que los componentes electrónicos eran fiables. También que, en caso de fallo de algún componente, el vehículo continuase siendo seguro. La Norma ISO 26262 es el standard internacional para la seguridad funcional en la industria automóvil. Se aplica a los sistemas eléctricos y electrónicos con componentes de hardware y software en vehículos. Define qué requisitos deben cumplir las funciones relevantes de seguridad del sistema, asi como los procesos,métodos y herramientas que se utilizan. No obstante, esta norma no contempla la ciberseguridad. Para cubrir este vacío, en 2016 SAE (Society of Automotive Engineers) publicó el documento 13061 “Guía de ciberseguridad para sistemas ciber-físicos de vehículos”. Esta prásctica recomendada establece principios para la ciberseguridad en los sistemas electrónicos de los vehículos:
- Su ciclo de vida completo que se pueda adaptar y utilizar en los procesos para incorporar la ciberseguridad en los sistemas electrónicos de los vehículos desde la fase de concepto hasta la producción, operación, servicio y desmantelamiento.
- Información sobre las herramientas y métodos comunes existentes al diseñar, verificar y validar estos sistemas electrónicos.
- Principios rectores básicos sobre ciberseguridad para sistemas de vehículos.
- Bases para el desarrollo de standares futuros en ciberseguridad de vehículos.
Paralelamente, diversos Organismos públicos y privados del mundo fueron publicando guías y recomendaciones sobre buenas prácticas en el diseño de los sistemas electrónicos de los vehículos para limiyar las consecuencias de un ciberataque.
La Unión Europea conoce que la conectividad y la automatización de los vehículos aumentan la posibilidad de acceso remoto no autorizado a sus datos y de modificación ilegal de software por vía inalámbrica. Así, establece la aplicación obligatoria de los Reglamentos de Naciones Unidas en ciberseguridad. El Reglamento UE 2019/2144 establece como requisito para la homologación de tipo de vehículos de motor el cumplimiento de dichos reglamentos. Las fechas clave para su aplicación son:
- Fecha de denegación de la homologación del tipo UE será el 6 de Julio de 2022.
- Fecha de prohibición de la matriculación de vehículos será el 7 de Julio de 2024.
Los Reglamentos de Naciones Unidas que han entrado en vigor el 22 de Enero de 2021 son:
- Reglamento Nº 155 de la Comisión Económica para Europa (CEPE) de las NacionesUnidas – Disposiciones uniformes relativas a la homologación de vehículos de motor en la ciberseguridad y su gestión.
- Reglamento Nº 156 de la Comisión Económica para Europa (CEPE) de las Naciones Unidas – Disposiciones uniformes relativas a la homologación de vehículos en lo que respecta a las actualizaciones del software y el sistema de gestión de actualizaciones de software”.
El artículo de Enrique Zapico en el Nº 118 de la revista Cesvimap entra en detalles sobre los aspectos cibernéticos de ambos Reglamentos (cuya lectura recomendamos a los expertos de la especialidad) pero en nuestro Blog nos interesa especialmente remarcar el apartado final del mismo sobre las CONSECUENCIAS de esta INVASIÓN DE LA CIBERNÉTICA EN LOS AUTOMÓVILES en lo que puede generar paradójicamente nuevos y graves riesgos para la seguridad vial:
“La entrada en vigor de esta nueva normativa en un plazo tan breve (año y medio) para nuevas homologaciones y poco más de 3 años para nuevas matriculaciones) acarreará a los fabricantes CAMBIOS DRÁSTICOS en su concepción de la electrónica de los vehículos. Hasta ahora la ciberseguridad no había sido una de las prioridades de los constructores. Ahora habrá que ser tenida en cuenta desde la concepción del producto hasta el final de su vida. Todos los fabricantes deben contar con ingenieros especializados en ciberseguridad o recurrir a consultoras especializadas que les gestionen estos procesos. También será una revolución respecto a la forma de evaluar la conformidad durante la homologación de tipo. Para estos Reglamentos no existen pruebas objetivas a los que someter a los vehículos. La evaluación se basará en comrpobar que el fabricante ha realizado una correcta y completa evaluación de amenazas y vulnerabilidades, categorizándolas en función de su probabilidad y de los posibles efectos de los ataques e implementando medidas de mitigación.
¿Qué efectos puede tener un ataque?
- Afecta al funcionamiento seguro del vehículo.
-Interrumpe el funcionamiento de las funciones del vehículo.
-Modifica el software y/o altera su rendimiento.
-Altera el software pero sin efectos en el funcionamiento.
-Viola la integridad de los datos.
-Viola la confidencialidad de los datos.
-Pierde la disponibilidad de los datos.
-Otros, incluida la delincuencia.
Además de la evaluación documental, el servicio técnico realizará test de ataque sobre alguna de las vulnerabilidades detectadas, para verificar la eficacia de las medidas de mitigación. Desde el punto de vista de los clientes y del mercado en general, cabe esperar que los vehículos que se homologuen conform a estos nuevos Reglamentos, sean realmente más ciberseguros. No hay que olvidar que los que existen y se comercializan hoy en día no cumplen ninguno de los requisitos – o al menos los fabricantes no pueden acreditarlo – . Es de prever que los robos de los vehículos mediante medios electrónicos disminuyan, que no sea posible realizar modificaciones ilegales en su softwarw (“dieselgate”) y, lo más importante, que en caso de producirse alguno de esos ataques, el fabricante tiene la obligación de implementar una solución (“parche”) durante toda la vida del vehículo”.