Normas de ciberseguridad en la automoción: ISO/SAE 21434 y más
La industria del automóvil es una de las víctimas de la rapidísima llegada de la era digital. Durante algunas décadas, el ordenador del coche no era más que un nombre elegante para una unidad de control electrónico (ECU) muy simple que controlaba el motor. El vehículo de carretera funcionaría bien con el ordenador apagado, sólo que sería menos eficiente en cuanto al combustible.
Eso ya no es así en la era de los coches conectados y, sobre todo, de los vehículos totalmente autónomos. Hoy tenemos coches con muchos sistemas electrónicos avanzados: luces que se ajustan a las condiciones de la carretera, sistemas de estacionamiento automático, control de crucero avanzado, hasta llegar a vehículos que funcionan por sí solos sin necesidad de conductor. Tu coche ya no puede funcionar sin un ordenador. Y si el ordenador se estropea, por ejemplo, como resultado de un ciberataque, puede tener graves consecuencias tanto para el conductor como para el resto de los conductores.
¿Están los coches conectados bajo la amenaza de los ciberataques?
Dado que el concepto de vehículo conectado es relativamente nuevo, los hackers malintencionados aún no lo han explotado en masa y el impacto de los ciberataques es mucho menor que en el caso de otras aplicaciones de la tecnología informática como los sitios web, los móviles y el Internet de las cosas (IoT). Sin embargo, no nos equivoquemos, ya se ha demostrado que estos ataques son posibles. Aunque estos casos aún no son noticia debido a su limitado impacto, es solo cuestión de tiempo que los actores maliciosos, como los que trabajan para gobiernos hostiles, empiecen a buscar formas de eliminar a las personas dirigiendo sus coches conectados hacia los cañones.
Cuanta más funcionalidad y conectividad introduzcamos en el ecosistema de los vehículos conectados, más fácil será hackear los coches conectados. Los vehículos y sus módulos electrónicos ya necesitan actualizaciones periódicas de software, que podrían realizarse por aire en lugar de por cable, a través de una red Wi-Fi o móvil de acceso público. Estos mecanismos de actualización parecen interfaces perfectas para que un atacante las explote.
Aunque es sorprendente lo rápido que se ha desarrollado la industria en tan poco tiempo, cometió el mismo error que muchas otras industrias de rápido desarrollo: los fabricantes de vehículos no solían pararse a pensar lo suficiente en todos los aspectos de la ciberseguridad y, aunque lo hicieran, tenían muy poca orientación y el enfoque no estaba unificado. Sin embargo, en los dos últimos años se ha mejorado mucho en este ámbito gracias al desarrollo de la norma global – ISO/SAE 21434 y los requisitos de la CEPE WP.29. Estas normas cubren los requisitos de ciberseguridad más importantes en lo que respecta a la industria del automóvil: los relacionados con la propia seguridad de los vehículos.
Resumen de la norma ISO/SAE 21434
La norma internacional ISO/SAE 21434, publicada en agosto de 2020, fue desarrollada conjuntamente por la Organización Internacional de Normalización y SAE International (antes conocida como Sociedad de Ingenieros de Automoción). Aunque se trata de una norma completamente nueva, se ha inspirado en otras más antiguas: ISO 26262 para la seguridad funcional y SAE J3061 para la ciberseguridad. Representa el lenguaje común de las organizaciones que se ocupan de la gestión de los riesgos de ciberseguridad de los vehículos. Su introducción fue recibida con los brazos abiertos por todas las partes interesadas porque, hasta ese momento, se enfrentaban a una larga lista de normas potencialmente utilizables.
Sólo con echar un primer vistazo a la norma ISO/SAE 21434, queda claro que esta norma de seguridad se ocupa principalmente del software y el hardware de los vehículos: se centra en las amenazas cibernéticas causadas por piratas informáticos malintencionados, en la gestión de los riesgos de seguridad de los vehículos y sus piezas, y en la mitigación de los incidentes de ciberseguridad. Esta norma de seguridad del automóvil pretende ayudar a los fabricantes a asegurarse de que los vehículos se desarrollan con el menor riesgo posible de sufrir un ciberataque. Esto incluye los ciberataques más graves que podrían suponer un peligro para el conductor y otros usuarios de la carretera, pero también, por ejemplo, los que pondrían en peligro la privacidad del usuario del vehículo y sus datos sensibles.
La norma ISO 21434 promueve la ingeniería de ciberseguridad de los vehículos de carretera basada en el concepto de seguridad por diseño. Su objetivo es ayudar a las organizaciones a desarrollar programas y procedimientos que cubran la ciberseguridad desde las primeras etapas del diseño del vehículo a lo largo de todo su ciclo de vida, incluyendo la postproducción, hasta el desmantelamiento. Fomenta una cultura de ciberseguridad en toda la organización, se asegura de que el fabricante no ignora actividades importantes de ciberseguridad como el análisis de vulnerabilidad, la gestión de la vulnerabilidad y el análisis de amenazas y evaluación de riesgos (TARA), y les orienta hacia la definición y gestión claras de los riesgos de ciberseguridad mediante el establecimiento de un sistema de gestión de la ciberseguridad (CSMS).
Como todas las recomendaciones estándar de ISO, la ISO/SAE 21434 es voluntaria. Las organizaciones son bienvenidas a adoptarla para mejorar sus medidas de ciberseguridad como parte de la diligencia debida, pero no están legalmente obligadas a seguirla. Sin embargo, la norma puede ser un requisito comercial en la cadena de suministro y los fabricantes de vehículos pueden imponer este requisito a los OEM de automóviles, a los desarrolladores de automóviles, a los proveedores de servicios y a otras partes interesadas que participan en el desarrollo de productos.
Requisitos del WP.29 de la CEPE
El WP.29 de la CEPE no es una norma en sí misma, sino un grupo de trabajo denominado Foro Mundial para la Armonización de las Reglamentaciones sobre Vehículos, formado por la División de Transporte Sostenible de la Comisión Económica para Europa de las Naciones Unidas (CEPE). Se centra no sólo en la ciberseguridad de los vehículos, sino en todos los aspectos de la regulación de la construcción, la homologación y las inspecciones técnicas periódicas de los vehículos de ruedas. El aumento del número de vehículos conectados llevó al WP.29 de la CEPE a incluir la normativa sobre ciberseguridad en sus requisitos de seguridad de los vehículos.
Aunque en algunos países los fabricantes no tienen que someterse a ningún tipo de validación ni obtener la aprobación de la Organización para introducir nuevos vehículos en el mercado, siguen estando obligados a seguir las directrices y, si se encuentran discrepancias más adelante, podrían enfrentarse a retiradas de productos y a importantes multas. Esto hace que la ciberseguridad, que ahora forma parte de estos requisitos, ya no sea una opción para los fabricantes de vehículos.
Los requisitos del WP.29 de la CEPE son más genéricos que los de la ISO SAE 21434 y si el fabricante cumple los requisitos de la ISO 21434, normalmente también cumple todos los requisitos del WP.29. Este supuesto refuerza aún más la posición de la norma ISO 21434 y anima a todos los fabricantes de vehículos a adoptarla, no sólo para facilitar la homologación.
El papel de la DLP en la ciberseguridad del automóvil
Debido a que la norma ISO/SAE 21434 cubre un ámbito muy específico de los procesos de ciberseguridad, no se ocupa específicamente de la privacidad de los datos ni de las garantías de seguridad. Sin embargo, estos aspectos se mencionan en la norma. La norma parte de la base de que existe una forma de determinar la seguridad de la información. Espera que la organización vaya más allá de la norma ISO 21434 y desarrolle procesos de ciberseguridad para cubrir la seguridad de la información mediante la creación de un sistema de gestión de la seguridad de la información con la ayuda de normas como la ISO/IEC 27001. Esto se menciona claramente en una de las secciones de la norma ISO 21434:
5.4.6 Gestión de la seguridad de la información
Los productos de trabajo deben gestionarse de acuerdo con un sistema de gestión de la seguridad de la información.
Para garantizar que los procesos de producción de vehículos en toda la cadena de valor estén a salvo del robo de información, el sistema de gestión de la seguridad de la información mencionado en la sección 5.4.6 debería incluir soluciones de prevención de la pérdida de datos como Endpoint Protector. Si bien estas soluciones no se aplican específicamente al desarrollo de software de automoción, protegen los sistemas utilizados en el proceso de desarrollo de los vehículos conectados, lo que es igual de importante para garantizar la seguridad del vehículo y de los propietarios.
