El sector de la automoción se enfrenta a un exigente cambio de normativa que arrastra no solo a los fabricantes de vehículos, sino también a la industria auxiliar y, en definitiva, a toda la cadena de suministro. Ante el fuerte peso que tiene este sector en el tejido productivo del territorio, desde el Centro de Ciberseguridad Industrial de Gipuzkoa, ZIUR, surge una pregunta: ¿A qué se enfrenta la industria guipuzcoana de automoción en este ámbito?
Ziur y la cadena de suministro
Esta nueva normativa para el sector de automoción afecta, en primer lugar, a los grandes fabricantes de vehículos, que ya están adoptando medidas para mejorar su madurez de ciberseguridad. Pero desde ZIUR se ha detectado que esta nueva normativa va extendiéndose, como una avalancha, a lo largo de toda la cadena de suministro de estos fabricantes. Esto quiere decir que incluso el proveedor más pequeño que forma parte de esta cadena deberá repensar sus estrategias de ciberseguridad y empezar a demostrar que está recorriendo ese camino y tomando medidas para mejorar la ciberseguridad de su producto y de su gestión. Por ello, una de las líneas estratégicas de actividad definidas por ZIUR para los próximos meses está orientada, precisamente, a las empresas que son suministradoras de grandes fabricantes internacionales que están exigiendo, también en otros sectores, la implantación de nuevos estándares de ciberseguridad. En muchos casos un mayor grado de madurez en la ciberseguridad de las empresas proveedoras empieza a ser un factor determinante de competitividad.
La realidad actual refleja que el sector de automoción se ha convertido en un entorno muy atractivo para los ciberdelincuentes. Así lo demuestran algunos ataques que han ocurrido en los últimos meses. A principios de septiembre un ciberataque a una compañía de taxis de Moscú provocó un caos en la ciudad al enviar centenares de taxis a la misma hora a una de las principales calles de la capital. Un mes antes, en agosto, una vulnerabilidad detectada en vehículos de las marcas Hyunday y Kya, que se hizo pública en una red social, provocó una oleada de robos de coches de estas marcas en Estados Unidos. En los últimos meses, también se han conseguido manipular diferentes automóviles mediante ataques a sus sistemas de infoentretenimiento. En este caso, además, se trata de situaciones que podrían afectar a la integridad física de miles de personas.
Detrás de la gran mayoría de los ciberincidentes que se producen hoy en día, hay un interés claro en conseguir dinero, y hacerlo lo más rápido posible. Los hackers son conscientes de que cualquier acción que les permita usar la amenaza a la integridad física de las personas, tiene muchas más probabilidades de éxito.
Todo ello hace que, actualmente, el sector de automoción esté redefiniendo sus estrategias de seguridad y afrontando la ciberseguridad como un factor clave en el diseño de sus vehículos. Una necesidad que irá creciendo de manera paralela al desarrollo de una movilidad más inteligente y sostenible.
Homologación de vehículos
A partir de este pasado mes de julio, todos los nuevos vehículos conectados, para poder ser matriculados, deberán llevar a cabo un proceso de homologación previa dando cumplimiento a una exigente normativa de seguridad aprobada dos años antes: la UNECE/R155, que se presenta como el Reglamento de las Naciones Unidas sobre disposiciones uniformes relativas a la homologación de vehículos a motor en lo que respecta a la ciberseguridad y el sistema de gestión de ciberseguridad.
El paradigma de los fabricantes de vehículos cambia completamente, ya que este nuevo reglamento establece la necesidad de implementar un sistema de gestión de seguridad que trate el riesgo que suponen las ciberamenazas para los vehículos y que protege a estos ante potenciales ataques, es decir, este nuevo reglamento proporciona un marco al sector de la automoción para desarrollar los procesos necesarios de cara a cinco cuestiones: cadena de suministro, gestión de riegos, medidas de seguridad, detección y respuesta, y registro forense.
70 amenazas de ciberseguridad
El Reglamento UNECE/R155 contempla que los fabricantes deben proteger sus vehículos contra 70 amenazas de ciberseguridad de distinto tipo. Así, se verán obligados a crear un sistema de gestión de ciberseguridad denominado CSMS aplicable a las fases de desarrollo, producción y postproducción del vehículo. Estas amenazas se dividen en siete apartados que guardan relación con los canales de comunicación de los vehículos en cuanto a su conectividad, datos y actualizaciones, acciones humanas no intencionadas y otras amenazas que puedan surgir de la falta de protección.
Dicho reglamento establece la necesidad de supervisión, detección y respuesta ante ciberataques, ciberamenazas y vulnerabilidades, por lo que es necesario que implementen una monitorización continua de los vehículos. Asimismo, los fabricantes tendrán la obligación de contratar un servicio técnico externo de evaluación que certifique que su vehículo es ciberseguro y presentar documentación para poder evaluar el funcionamiento del CSMS.
