Normalización en ciberseguridad para la movilidad inteligente

Recientemente, se han producido varios ciberataques contra la industria automovilística, la mayoría de los cuales se aprovechan del creciente número de elementos digitales y conectados a la red en los vehículos. Esta tendencia ha puesto de manifiesto el impacto que pueden suponer las amenazas y riesgos de ciberseguridad asociadas al uso de los nuevos avances tecnológicos, tanto para los fabricantes como para los propietarios de vehículos y usuarios de la carretera. La necesidad de ciberseguridad está creciendo rápidamente a medida que el número y la complejidad de los sistemas informáticos de los vehículos sigue aumentando. Tratar a los vehículos como sistemas cerrados es una visión parcial del problema y es necesario contar con estrategias de seguridad globales, y transversales a todo el ecosistema de entidades involucradas en la movilidad conectada e inteligente.

En este marco, la Asociación Española de Normalización, UNE, ha publicado el Informe Normalización en Ciberseguridad para la Movilidad Conectada y Automatizada de vehículos y su entorno con el objetivo de impulsar la Ciberseguridad y Movilidad Inteligente. Y es que, ante esta necesidad de ciberseguridad relacionada con los vehículos y sus sistemas, se ha creado un grupo de expertos, el CTN 320/GT CAV Ciberseguridad en Ámbito del Vehículo (Movilidad), que trabaja para desarrollar los estándares y normas técnicas de ciberseguridad que puedan aplicarse en esta industria, y que se ha encargado de elaborar este informe.

Así, analiza los avances que en el campo de las normas y reglamentos se están desarrollando en la actualidad tanto en el ámbito gubernamental, como de los diferentes agentes del sector. Además, identifica los órganos técnicos de normalización, estándares e iniciativas más relevantes relativos a la Ciberseguridad y Privacidad, en el ámbito de la Movilidad Conectada y Automatizada (CAM)[1] y en el caso particular de Vehículos Conectados y Autónomos (CAVs)[2], Sistemas Inteligentes de Transporte (ITS)[3] y tecnologías de comunicación y conectividad involucradas.

El informe ha sido coordinado por el Colegio Oficial de Ingenieros Técnicos de Telecomunicación (COITT) y la contribución de destacados expertos de Administraciones Públicas, asociaciones sectoriales, entidades privadas y colegios profesionales. Su fin es ofrecer a la sociedad y a la industria herramientas que permitan a los profesionales de las TIC estar preparados y avanzar en el mundo de la automoción conectada y autónoma. Además, constituye un documento fundamental para aquellos que quieran introducirse en esta industria, pues les servirá como punto de partida y referencia para continuar en su futuro desarrollo.

El informe Normalización en Ciberseguridad para la Movilidad Conectada y Automatizada de vehículos y su entorno pretende establecer una base sólida para el desarrollo de estándares que garanticen la interoperabilidad, seguridad y privacidad de los vehículos conectados autónomos y sistemas inteligentes de transporte anticipándose incluso al desarrollo y generalización de estos.

La disponibilidad de nuevos servicios digitales en los vehículos, la comunicación entre vehículos y fabricantes (OTA), la comunicación entre vehículos (V2V), la comunicación entre vehículos e infraestructura (V2I), la comunicación entre vehículos y red de internet (V2N), la comunicación entre vehículos y peatones (V2P), y la comunicación con smartphone y dispositivos proporcionados por terceros proveedores constituyen desarrollos que pueden convertirse en un creciente campo de ataque para los riesgos de ciberseguridad. Por ello deben ser gestionados de forma integral, considerando los riegos de la conectividad y la interoperabilidad de todos los sistemas involucrados.

En el ámbito mundial, hay un esfuerzo por regular y normalizar la ciberseguridad en el sector del automóvil. La reciente propuesta de legislación en el Congreso de los Estados Unidos, la Cybersecurity Act de la Unión Europea, el plan de China del New Energy Vehicle(NEV) and Intelligent Connected Vehicle (ICV) industry Development Plan y las nuevas directrices JASPAR (Japan Automotive Software Platform and Architecture) de Japón son iniciativas que demuestran tres tendencias principales: una mayor atención a las especificidades de la industria del automóvil a la hora de gestionar los riesgos de ciberseguridad; un enfoque en los retos y requisitos para la gestión de la ciberseguridad en los vehículos que ya están en producción; y una normativa cada vez más rigurosa que incluye mayores requisitos y garantías de ciberseguridad en la producción de los nuevos vehículos.

Estas tendencias son evidentes en los procesos de homologación de vehículos. Es el caso de los nuevos reglamentos del W29 de UNECE, que incluyen por primera vez requisitos de ciberseguridad para vehículos y en el amplio espectro de estándares técnicos (por ejemplo, la serie ISO/IEC 27000); y nuevas normativas que se están desarrollando en este ámbito, como las ISO/SAE 21434 y 24089 o las especificaciones particulares para componentes de vehículos desarrolladas en la familia de Normas ISO 15408 y que se enmarcan dentro del primer Esquema de Certificación Europeo (EUCC) que se encuentra en desarrollo.

En este contexto, cabe señalar también, el amplio grado de adopción que están teniendo la familia de normas de seguridad de la información (Serie ISO 27000) dentro de la industria de la CAM. Estas normas se han convertido en la base de la estructura de gestión de la seguridad de la información en el ámbito de las infraestructuras críticas y tienen un papel central en el sector del automóvil y la movilidad conectada.

1 Más comúnmente conocida por sus siglas en inglés CAM, Connected and Automated Mobility.

2 Más comúnmente conocida por sus siglas en inglés CAVs, Connected and Automated Vehicles.

3 Más comúnmente conocida por sus siglas en inglés ITS, Intelligent Transportation Systems.

La Asociación Española de Normalización, UNE, ha celebrado el Encuentro Necesidades de normalización en Ciberseguridad para la Movilidad Inteligente, en el que destacados expertos han subrayado la necesidad de contar con nuevas normas técnicas en el ámbito de la Movilidad Conectada y Automatizada para dar respuesta a los riesgos inherentes de ciberseguridad y privacidad que conllevan los avances tecnológicos en este ámbito. Las normas impulsan la digitalización, ciberseguridad y movilidad inteligente del sector del automóvil.

En el evento han participado Félix Antonio Barrio, Gerente de Ciberseguridad para la Sociedad de INCIBE; Eduardo Valencia, Director de AMETIC Barcelona; Arancha García, Directora área Industrial y Medio Ambiente de ANFAC; Miguel Bañón, Presidente del CTN 320 “Ciberseguridad y protección de datos personales” de UNE; Luis Miguel Chapinal, Secretario Técnico de COITT; Jesús Fernández, Cybersecurity Manager de DEKRA; Raúl Orduna, Director de Ciberseguridad de Vicomtech; Ángel Pérez, CISO de autopistas; Pablo Escapa, Director de Tecnología de la Información de EUROCYBCAR; Carlos Sahuquillo, Consultor de Ciberseguridad en Automoción de GMV; Amanda Suo, Responsable de Ciberseguridad de UNE y Paloma García, Directora de Programas de Normalización y Grupos de Interés de UNE.

Durante la celebración de este encuentro se ha presentado el Informe Normalización en Ciberseguridad para la Movilidad Conectada y Automatizada de vehículos y su entorno, publicado por UNE en colaboración con las organizaciones participantes en el grupo técnico de normalización CTN 320/GT CAV Ciberseguridad en el Ámbito del Vehículo.