RESUMEN
Los vehículos ITS forman parte de un complejo ecosistema de tecnologías, lo que supone una amplia superficie de ataque en la que se puede propiciar un incidente de ciberseguridad, afectando no solo a la protección de datos, sino también a la seguridad vial. Debido al peligro que supone un ciberataque y los graves efectos que puede causar en la sociedad, es necesario un exhaustivo diseño, implementación y evaluación de las medidas de ciberseguridad empleadas en los vehículos de nueva generación y sus sistemas de comunicaciones. Open Mobility Security Project tiene como objetivo ser el marco de trabajo de referencia que permita a fabricantes, proveedores y auditores evaluar la ciberseguridad de un sistema de movilidad conectado, siendo aplicable durante todas las fases del desarrollo de producto, facilitando así el cumplimiento normativo y la generación de evidencias que ello implica, de una forma ágil, sencilla y con gran trazabilidad.
INTRODUCCIÓN
“Nos encontramos en la cúspide del cambio de modelo de transporte más rápido, profundo y consecuente de la historia” (WG 5 CCAM Platform, 2020)(p. 3). Esta afirmación define perfectamente el momento histórico en el que se encuentra actualmente el sector de la movilidad. La incorporación de tecnologías de conectividad a los sistemas del vehículo, la aparición de los vehículos autónomos, el uso de motores eléctricos propulsados por baterías de alta capacidad, y el nacimiento del nuevo modelo de negocio transporte como servicio, han cambiado completamente el paradigma establecido hasta el momento. Los fabricantes ya no se centran únicamente en diseñar vehículos altamente sofisticados en su mecánica y estética, sino en que estos además dispongan de nuevas tecnologías de conectividad con objetivo de aumentar la protección y el confort de sus ocupantes. Además, su incorporación, permite a los vehículos ser partícipes en nuevos modelos de transporte en los cuales cada participante intercambia con la infraestructura y otros usuarios de la vía la información sobre su entorno que ha captado mediante su conjunto de sensores, facilitando una movilidad más segura, eficiente y ecológica.
Figura 1: Infografía sobre activos atacables de un vehículo moderno
La incorporación de nuevas tecnologías de conectividad y automatización a un sistema electromecánico orientado al transporte, supone un cambio radical en la composición de los sistemas embarcados y un significante aumento de su complejidad. Su incorporación, implica la aparición de una nueva dimensión tecnológica que debe ser segura desde su diseño, para que los posibles nuevos vectores de ataque no afecten a la protección de los pasajeros y usuarios de las vías por las que circulen. Como se puede ver en la infografía de ejemplo mostrada en la Figura 1, un vehículo actual dispone de numerosas utilidades que podrían permitir a un atacante actuar sobre el vehículo en caso de que una de ellas tuviese alguna vulnerabilidad explotable.
El gran impacto y repercusión causado por las nuevas tecnologías de conectividad y automatización en el mercado de la movilidad, ha derivado en la propuesta de nuevas regulaciones, estándares y recomendaciones por parte de gobiernos, fabricantes de equipamiento original y otras agrupaciones de interesados, para adaptarse a las circunstancias impuestas por el avance de la tecnología y asegurar que los nuevos vehículos son diseñados desde un principio con un enfoque hacia la seguridad informática de sus sistemas. Por destacar los documentos más relevantes orientados a automoción, se encuentran, entre otros, la regulación UNECE R155, R156, la norma ISO/SAE 21434 y la recomendación consolidada SAE J3061.
Por otra parte, acompañando a la publicación de nueva normativa y regulación, surgen proyectos como Open Mobility Security Project (OMSP) (Zerolynx, 2020), proyecto de I+D+i de Zerolynx que tiene como objetivo establecer un marco de trabajo enfocado en la verificación y validación de la ciberseguridad de todo tipo de vehículos, mediante la cual se facilita el cumplimiento regulador en un mercado exento de herramientas similares. OMSP será objeto del discurso en el apartado de resolución.
Sin la implantación adecuada de seguridad en su diseño, operación y mantenimiento, los vehículos conectados y su ecosistema pueden quedar expuestos a ataques que impacten severamente en la protección y privacidad de sus usuarios. Además, se deben de tener en cuenta todo el entorno y actores partícipes en cada fase de su ciclo de vida. Según CCAM Platform (WG 5 CCAM Platform, 2020) "La exposición de un vehículo a redes V2X, puede suponer ataques informáticos", algo esperable de un entorno hiperconectado basado en tecnologías de reciente creación que tienen por objetivo implantarse en el día a día de las personas, y por lo tanto, esto se convierte en un problema que afecta a toda la sociedad, tal y como comparte la antigua CEO de General Motors, Mary Barra, en una entrevista realizada en el año 2016, (MIT Technology Review, 2016): “Un ciber-incidente es un problema para todos los fabricantes de vehículos del mundo (…). Es una cuestión de seguridad pública”.
En la Figura 3 se muestra un ejemplo de la superficie de ataque de un vehículo moderno en función de su estado y perspectiva del atacante.
Compromiso entre Safety y Security
Para continuar el planteamiento del problema expuesto, es necesario tener claro el significado de los conceptos protección ante riesgos y protección ante amenazas, por lo que se hace uso de las definiciones aportadas por el documento de recomendaciones SAE J3061 (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17):
- Seguridad mediante protección ante riesgos: Es el estado de un sistema que no causa daño a la vida, propiedad, o entorno.
- Seguridad mediante protección ante amenazas: Es el estado de un sistema que no permite la explotación de vulnerabilidades que conllevan a pérdidas, ya sean financieras, operativas, de privacidad o de protección.
- Sistema crítico ante riesgos de integridad física: Sistema que puede causar daño a la vida, propiedad, o entorno si el sistema no se comporta según lo previsto o lo deseado.
- Sistema crítico ante amenazas informáticas: Sistema que puede conllevar a pérdidas financieras, operativas, de privacidad, o de protección ante riesgos si es comprometido a través de una vulnerabilidad presente en el sistema.
Cabe destacar que en la Lengua Castellana no existe una traducción exclusiva para los términos safety y security, ambos son traducidos directamente por "seguridad", lo que habitualmente conlleva a confusión a la hora de referirse a alguno de ellos. En este documento se ha optado por traducir safety como "protección ante riesgos" y security por "protección ante amenazas". En lo que respecta a la relación entre los dos dominios, es importante clarificar qué influencia tienen el uno sobre el otro. Según se expone en la guía (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17): "Todos los sistemas críticos ante riesgos de integridad física son sistemas críticos ante amenazas informáticas, ya que un ciber-ataque puede afectar directa o indirectamente a la integridad del sistema conllevando a potenciales pérdidas de protección". Por otra parte, expone: “No todos los sistemas críticos ante amenazas informáticas son sistemas críticos ante riesgos de integridad física, ya que un ciber-ataque puede resultar en pérdidas que no afecten a la protección, como por ejemplo pérdidas de privacidad, operativas o financieras”.
- Proceso estructurado: El marco de trabajo propuesto está compuesto por una serie de fases y actividades organizadas en un orden lógico, definidas con claridad y sencillez, lo que permite una rápida comprensión de la metodología y su posterior puesta en práctica, así como una gran trazabilidad de las actividades realizadas.
- Desarrollo continuo: Para dar soporte al cumplimiento normativo, OMSP se desarrolla de forma continua e iterativa para mantenerse actualizado al complejo estado del arte, proporcionando ante cada novedad una solución correspondiente.
- Accesibilidad: OMSP ha sido diseñado para que sea posible su uso de forma aislada o acompañada de los inputs y outputs correspondientes a la aplicación de otras metodologías. Por ejemplo, durante su uso se podría emplear la información generada de un análisis de riesgos del vehículo en cuestión. Además, su enfoque puede ser de caja negra, gris o blanca, en función del nivel de información disponible sobre el vehículo a evaluar.
- Compatibilidad: La metodología ha sido diseñada de tal forma que permite evaluar cualquier tipo de vehículo, ya que de forma independiente estos se ven descompuestos en sus unidades mínimas de evaluación denominadas activos, como pueden ser actuadores, sensores y datos, y se contextualizan dentro del entorno de operación del vehículo.
- Cumplimiento: Partiendo de su proceso estructurado, el marco de trabajo establece los puntos de generación de evidencias requeridos para el cumplimiento normativo y regulador.
- Open Source: El hecho de que sea un proyecto público supone una búsqueda de colaboración activa por parte de la comunidad. Cualquier interesado con conocimientos en la materia puede ser partícipe proporcionando mejoras, correcciones, difusión u otras actividades de interés. De esta forma, se pretende una mayor difusión e integración en el mercado, haciendo partícipes a múltiples actores y difundiendo el conocimiento de forma abierta.
- El aumento de conectividad en los vehículos inteligentes supone un grave problema para la sociedad, ya que deriva en una mayor exposición ante ciberataques que produzcan de forma colateral accidentes de tráfico o alteren la circulación en las vías. Entidades gubernamentales y otros stakeholders tratan de dar respuesta a la necesidad de disponer de vehículos ciberseguros mediante la generación e implantación de regulaciones y normas específicas para el sector de la movilidad, lo que facilitará la llegada de la ciberseguridad a la industria de la automoción y por consecuencia a una movilidad más segura.
- Los fabricantes de vehículos y sus proveedores deben mejorar la concienciación, fomentando la cultura de ciberseguridad las actividades de la organización. Además, deben adoptar un ciclo de vida de producto que incluya la ciberseguridad desde el diseño, de tal forma que sus vehículos dispongan de un nivel de seguridad elevado y se eviten vulnerabilidades en fases tardías del desarrollo o producción.
- El reglamento número 155 de UNECE establece la obligatoriedad de realizar un proceso de verificación y validación de las medidas de ciberseguridad implementadas en los vehículos para mitigar el riesgo de las amenazas identificadas como resultado del análisis de riesgo previamente realizado. Para ello, se realizarán pruebas de fuzz testing y pentesting mediante las cuales se simularán los posibles ataques que se realizarían ante cada caso de riesgo.
- Se destaca la afirmación que realiza SAE (p. 22) y que los autores de este documento comparten: "Ningún sistema puede garantizar ser 100% seguro, pero la aplicación de un proceso de desarrollo de producto bien definido y estructurado reduce la posibilidad de la aparición de fallos de seguridad", destacando entre ello la importancia de la aplicación de un preciso sistema de validación que verifique y valide las medidas de ciberseguridad implementadas en los vehículos, como es en este caso OMSP.
- Open Mobility Security Project (OMSP) es una metodología desarrollada por Zerolynx y abierta a la comunidad que tiene como objetivo establecer el marco de trabajo de referencia ante la evaluación de la ciberseguridad de cualquier tipo de vehículo. Es aplicable durante todas las fases del desarrollo de producto y facilita el cumplimiento normativo. Su contenido es accesible públicamente y se puede participar en su desarrollo como colaborador.
- ETSI. (2010). ETSI EN 302 655 V1.1.1.
- González, P. (2015). Ethical Hacking: Teoría y práctica para la realización de un pentesting (Primera). 0xWORD. https://0xword.com/es/libros/65-ethical-hacking-teoria-y-practica-para-la-realizacion-de-un-pentesting.html
- McKinsey. (2014, September 1). What’s driving the connected car. https://www.mckinsey.com/industries/automotive-and-assembly/our-insights/whats-driving-the-connected-car
- MIT Technology Review. (2016). GM CEO: Car Hacking Will Become a Public Safety Issue. https://www.technologyreview.com/2016/07/22/158706/gm-ceo-car-hacking-will-become-a-public-safety-issue/
- SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 128 (2016). https://doi.org/https://doi.org/10.4271/J3061_201601
- UNECE WP.29. (2020). WP.29/R155: Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system. https://unece.org/sites/default/files/2021-03/R155e.pdf
- WG 5 CCAM Platform. (2020). Cybersecurity and access to in-vehicle data linked to CCAM. 1–11.
- Zerolynx. (2020). Open Mobility Security Project. https://github.com/zerolynx/omsp