El estándar de ciberseguridad automotriz hace que todos hablen el mismo idioma
Con los avances en conectividad, los consumidores pueden obtener enormes beneficios a medida que sus vehículos reciben actualizaciones.
Con los avances en conectividad, los consumidores pueden obtener enormes beneficios a medida que sus vehículos reciben actualizaciones por aire para mejorar las características y la seguridad, comunicarse con otros vehículos o la infraestructura de la ciudad y proporcionar información en red a través de su interfaz de usuario.
Sin embargo, la conectividad avanzada requiere ciberseguridad avanzada para proteger al conductor y a otros usuarios de la carretera de posibles atacantes. Los ataques pueden provenir del acceso físico a un vehículo, o incluso a través de Wi-Fi o Bluetooth, pero las conexiones celulares significan que un atacante podría acceder a los sistemas del vehículo desde cualquier parte del mundo.
La industria del automóvil lo sabe muy bien. Llevará tiempo abordar por completo estos riesgos, pero primero debe haber un enfoque coordinado para abordar la ciberseguridad en este mercado en crecimiento. Los estándares de ciberseguridad existentes no se adaptan bien a los desafíos específicos de la industria automotriz, donde la seguridad del vehículo es de suma importancia, la tecnología en el vehículo tiene un ciclo de vida prolongado y los sistemas residen en controladores integrados.
Cada OEM o proveedor ha tenido que desarrollar su propio conjunto de requisitos de ciberseguridad. De hecho, ni siquiera existe una forma común de describir el riesgo asociado con un ciberataque a varias funciones de un vehículo.
Eso está cambiando. La Organización Internacional de Normalización (ISO) y SAE International han redactado un estándar que define un proceso estructurado para garantizar que la ciberseguridad esté diseñada en los vehículos por adelantado. Proporciona un lenguaje común que se puede utilizar en toda la cadena de suministro para cuantificar el riesgo cibernético a diferentes sistemas o funciones en un vehículo, de modo que las empresas puedan acordar qué nivel de rigor se requiere para mitigar ese riesgo. Si bien un estándar, en sí mismo no inoculará a un vehículo del daño cibernético, puede brindarle a la industria herramientas para construir los productos que abordarán los riesgos.
El borrador de la norma ISO / SAE 21434, mide el riesgo en función de dos factores principales: la viabilidad de que ocurra un ataque y el impacto si se realiza una amenaza. El estándar también introduce el concepto de Nivel de Garantía de Ciberseguridad (CAL) por sus siglas en inglés, que puede transmitir cuán críticamente debe protegerse un sistema contra ataques. Según la CAL, una organización escalaría sus actividades de ciberseguridad en consecuencia, es decir, usaría más o menos rigor, dependiendo de la CAL.
La idea es similar al Nivel de Integridad de Seguridad Automotriz (ASIL) por sus siglas en inglés, especificado en la norma ISO 26262 para seguridad funcional, que se ocupa del riesgo de falla de sistemas automotrices específicos. De hecho, al evaluar el riesgo para la seguridad, la nueva norma indica que el nivel de impacto debe evaluarse en función de los niveles ISO 26262.
Una diferencia clave es que la viabilidad de un ciberataque puede cambiar con el tiempo. Un sistema puede parecer impermeable un día, pero un exploit podría estar disponible públicamente al día siguiente. El proyecto de norma tiene en cuenta este aspecto dinámico del riesgo.
La segunda parte principal del borrador del estándar establece las mejores prácticas para gestionar el riesgo cibernético a lo largo del ciclo de vida de un producto. La ciberseguridad debe integrarse en los procesos de las empresas desde el principio, desde el diseño y el desarrollo hasta la fabricación. Las mejores prácticas también cubren situaciones en las que una vulnerabilidad sale a la luz mientras los vehículos están en el campo. Y especifican las acciones que se deben tomar cuando se desmantela o vende un vehículo, por ejemplo, para purgar cualquier dato personal que aún pueda residir en los sistemas.
Lo que el borrador del estándar no hará es prescribir tecnologías o soluciones específicas de ciberseguridad. Siempre que podamos hablar sobre los desafíos que enfrentamos de una manera común, las empresas individuales pueden diferenciarse en las tecnologías y técnicas que utilizan para abordar esos desafíos.
El interés en el proyecto de norma ha sido extremadamente alto. El Grupo de Trabajo 29 de la Comisión Económica para Europa de las Naciones Unidas hace referencia a ISO / SAE 21434 como una forma de cumplir con las regulaciones europeas (ahora etiquetadas como UN-1R55) que requieren que los vehículos tengan un sistema de gestión de ciberseguridad. Estos requisitos han sido aprobados y serán vinculantes en la Unión Europea en el verano de 2022.
Los fabricantes de equipos originales también están solicitando que sus proveedores se aseguren de que cumplen con el estándar. Al final, los OEM impulsarán la adopción en toda la industria. Los gobiernos también podrían impulsar la norma ISO / SAE 21434, ya que monitorean su adopción y efectividad.
Este esfuerzo internacional para definir un estándar de ciberseguridad automotriz ha sido tremendo, ya que expertos de todo el mundo se unen para abordar este desafío tan importante. Se espera que el estándar final esté en 2021.