Sobre la importancia de la ciberseguridad en el vehículo y el sector de la automoción
Hace pocos días se publicó de manera oficial la norma ISO/SAE 21434 “Vehículos de carretera – Ingeniería de ciberseguridad”. Con este hito, el mundo de la estandarización formaliza la necesidad y la importancia de incorporar la ciberseguridad en los procesos de ingeniería para el desarrollo de productos de automoción, desde su fase de concepto hasta que se convierten en una realidad, así como su seguimiento y mantenimiento una vez se encuentren en el mercado.
Esta norma ve la luz varios años después de que se creara, en 2015, el Comité de Ingeniería de Sistemas de Ciberseguridad para Vehículos (Vehicle Cybersecurity Systems Engineering Committee) de SAE International, la Sociedad de Ingenieros de Automoción. Este comité se creó para poder tratar diferentes amenazas y vulnerabilidades asociadas a los vehículos y vino seguido de la publicación de una guía con la definición de un marco de actuación para poder adaptar e incorporar la ciberseguridad en los sistemas del vehículo.
El nuevo estándar internacional aprovecha las directrices de la SAE para abordar el problema de la ciberseguridad en el sector y contempla la ciberseguridad en la ingeniería de los sistemas eléctricos y electrónicos de los vehículos de carretera. De este modo, se ha tratado de resolver los problemas a los que se enfrentan tanto los fabricantes como su cadena de suministro a la hora de adaptarse a la rápida evolución de las tecnologías y a los nuevos métodos de ciberataque que van surgiendo a la misma velocidad y de la mano de esta innovación.
Ahora bien, empresas como GMV, dedicada al mundo del automóvil desde hace años -conocedora de sus sistemas, procesos y procedimientos- y también del mundo de la ciberseguridad, siendo uno de los mayores referentes a nivel nacional e internacional, sabe que esto no es una moda, o que simplemente debe incorporarse a los productos automotrices o cumplir con ello porque esté regulado. Al igual que este sector tiene absolutamente instaurada una cultura de seguridad física (safety, como diferencian en el mundo anglosajón) y entiende que forma parte de manera inseparable de los procesos que conducen a la fabricación del automóvil y de sus diferentes sistemas y componentes, es necesario que esa misma cultura de seguridad (esta vez poniendo el foco en security o ciberseguridad, como diferenciarían los angloparlantes), vaya permeando todas las capas de las organizaciones que trabajan para producir vehículos conectados y autónomos seguros.
En este sentido prima el pensamiento de la “ciberseguridad por diseño” y la publicación oficial de esta norma es una ocasión perfecta para insistir en este mensaje. La ciberseguridad no debe ser vista como un coste que incremente de manera innecesaria el precio de los vehículos conectados y autónomos -ni siquiera de los componentes que los integran-; al contrario, se trata de una inversión muy necesaria, imprescindible, y no tenerla en cuenta puede tener consecuencias nefastas tanto para las empresas que forman parte del ecosistema de producción de vehículos, como para las personas que los conducen o viajan en ellos. Las consecuencias en el plano económico y reputacional para una marca son asimismo nada despreciables y permanecen en la memoria del sector durante mucho tiempo. Habiendo además otro tipo de consecuencias que nos pueden marcar para siempre, ya que un ataque o fallo debido a no haber tenido en cuenta la ciberseguridad en las fases de ingeniería y fabricación, puede afectar directamente a la seguridad (safety) de los ocupantes, sin necesidad de explicar cuál pudiera ser en algunos casos el desenlace.
Desde hace ya un tiempo venimos leyendo y escuchando que el automóvil del futuro es un producto, incluso parte de un servicio de movilidad, sofisticado y que no responde únicamente a la necesidad de desplazarnos de un punto geográfico a otro. Este producto nos facilita el acceso a una serie de servicios cuyo fin es incrementar la seguridad vial, hacer más fluido el tráfico, lograr una conducción más eficiente desde el punto de vista energético y mejorar la experiencia del usuario, al facilitar el acceso a contenidos y entretenimiento, no disponibles con anterioridad a bordo de un vehículo. Para poder dotar al automóvil de todas estas funcionalidades se requiere la incorporación de sofisticadas tecnologías -incluyendo la conectividad- y software cada vez más complejo, con un tamaño que alcanza en la actualidad los 100 millones de líneas de código y que no hará más que aumentar en los próximos años.
Los vehículos se convierten así en una herramienta muy potente y versátil. Pero esta mayor sofisticación trae consigo un incremento de los riesgos y vulnerabilidades que es necesario identificar y conocer con objeto de reducirlos, o llegar a soluciones de compromiso que nos permitan incorporar unos niveles de riesgo aceptables en nuestros sistemas automotrices. El riesgo cero no será posible, como tampoco lo es poder eliminar cualquier intento de ataque o intrusión a un vehículo. Pero asumir estas prácticas de desarrollo seguro en los procesos permite incrementar las barreras de seguridad, y con ello, acotar los riesgos con los que tendremos que convivir. Además, no debemos olvidar que adoptar prácticas que contemplen la ciberseguridad como parte de los procesos de desarrollo automotriz tiene también una vertiente económica, pues permite controlar los costes del desarrollo y mantenimiento del vehículo y sus componentes, lo cual resulta tremendamente atractivo para los diferentes integrantes del ecosistema de automoción.
Finalmente, es importante destacar el auge del negocio de la ciberseguridad en el sector. Se estima que el valor del mercado mundial de la ciberseguridad en automoción alcanzará los 9.700 millones en 2030, con un enorme potencial de crecimiento (superior al 7% anual).
España puede jugar un papel muy importante en este mercado, en el que existen organismos de gran relevancia y una industria que se nutre de excelentes profesionales.