Ayer por la noche tuvimos el placer de participar en la edición especial sobre ciberseguridad que hicieron en el programa Comando Actualidad, de TVE, donde nuestros compañeros Martin Puga y Luis Vázquez (analistas de ciberseguridad) junto a Jesús Alcalde (responsable del área de innovación) y, nuestro CEO, Juan Antonio Calles, estuvieron explicando y demostrando como los ciberataques a los vehículos están a la orden del día y como pueden producirse.
En 1999 se acuñó el concepto IoT (Internet de las cosas), y desde entonces, la industria ha seguido conectando nuevos dispositivos a Internet, con el fin de facilitar su usabilidad. Según Gartner, el pasado año se conectaron a través de IoT más de 26 mil millones de dispositivos. Y de esta hiperconexión no escapa el sector de la movibilidad, que poco a poco ha ido integrando en trenes, coches, motocicletas, barcos, aviones, patinetes e incluso, bicicletas, distintos activos para conectarlos a Internet y dotarlos de nuevas características.
En junio de 2020 fue publicada una regulación de las Naciones Unidas para establecer los requisitos de ciberseguridad a cumplir por parte de los fabricantes, relativa a su SGSI y a sus modelos de vehículo, durante todo su ciclo de vida. Con ello, se aumentan los requisitos necesarios para la homologación establecidos en el acuerdo de 1958 y sus actuales 152 adendum. Su aplicación dio comienzo en enero de 2021 en los 54 países firmantes, y afecta a coches, furgonetas, autobuses, camiones y vehículos ligeros de cuatro ruedas que disponen de funcionalidades de automatización de la conducción de nivel tres o superior.
Por otro lado, el mercado está trabajando en la normativa ISO/SAE 21434, que se establecerá como estándar de facto relativo a la implantación de un sistema de gestión de la seguridad de la información y sus procesos asociados en automoción, de cara a cumplir los requisitos impuestos en el marco legislativo. Será un estándar de certificación para OEMs y proveedores, con el objetivo de evidenciar el cumplimiento de la regulación vigente. Actualmente, la norma se encuentra en fases finales de su creación, estando en estado de borrador internacional (DIS), y siendo sometida a votaciones y correcciones ante alegaciones.
Desde Zerolynx, conscientes de esta situación, lanzamos en 2018 nuestro área de Ciberseguridad en Movilidad, un departamento especializado exclusivamente en dicho sector, que ha dado seguimiento y apoyo a numerosos fabricantes para implantar ciberseguridad en diferentes industrias como la ferroviaria o la de la automoción. Este área forma parte también del comité CTN 26/SC 1/GT 1 (UNE), con el objetivo de dar seguimiento y apoyo a los grupos de trabajo internacionales ISO/TC 22/SC 32/WG11 Cybersecurity e ISO/TC 22/SC 32/WG 12 Software Update.
Dentro de los proyectos de ciberseguridad en el mercado de la movilidad, Zerolynx ha tenido la oportunidad de participar tanto en procesos de ingeniería dentro de diferentes etapas de la fabricación, como en procesos de auditoría, para verificar que las medidas implantadas son suficientes para dar respuesta a las amenazas actuales, tanto a nivel de safety, como de security. Y, de toda esta experiencia, lanzamos en 2020 nuestro proyecto Open Mobility Security Project, una metodología abierta enfocada a estandarizar controles técnicos y repetibles para definir, implantar y auditar las medidas de ciberseguridad necesarias en todo tipo de vehículos, dar cumplimiento a las regulaciones, y abordar una respuesta integral a las innumerables amenazas. Gracias al marco de controles definido en OMSP, hemos llevado con éxito numerosos proyectos con el objeto de implantar ciberseguridad en vehículos de todo tipo, desde trenes a motocicletas eléctricas, incluyendo los diferentes activos con los que interactúan, como balizas ERTMS o aplicaciones móviles. Con el apoyo de OMSP y todo nuestro conocimiento, hemos definido un catálogo de amenazas que podrían afectar al sector, hemos establecido posibles puntos de ataque que podrían ser explotados en cualquier tipo de vehículo y hemos establecido medidas para mitigar los riesgos existentes.
Si eres un OEM, Tier o Aftermarket del sector de la movilidad (automoción, ferroviario, etc.) y estás interesado en gestionar la ciberseguridad, estaremos encantados de presentarte nuestra propuesta de valor. Contáctanos en nuestro email [email protected], y nuestro equipo te atenderá a la mayor brevedad.