El sector automovilístico está experimentando una profunda transformación con la digitalización de los sistemas instalados en los vehículos, que son necesarios para la automatización, la conectividad y la movilidad compartida. Hoy en día, los coches contienen hasta 150 unidades de control electrónicas y alrededor de 100 millones de líneas de código informático – cuatro veces más que un avión de combate –, y se prevé que alcancen los 300 millones de líneas de código en 2030.
Esto llega con riesgos de ciberseguridad significativos, dado que los hackers tratan de acceder a sistemas y datos, amenazando la seguridad vial y la privacidad de los consumidores.
Dos nuevos Reglamentos de Naciones Unidas sobre Ciberseguridad y Actualizaciones de Software ayudarán a hacer frente a estos riesgos estableciendo normas claras sobre rendimiento y auditoría para los fabricantes de vehículos. Estas son las primeras normas armonizadas internacionalmente y vinculantes en este ámbito.
Los dos nuevos Reglamentos de Naciones Unidas, adoptados ayer por el Foro Mundial de Naciones Unidas para la Armonización de la Reglamentación sobre Vehículos, establecen que las medidas deben ser aplicadas en cuatro áreas:
- Gestionando los riesgos cibernéticos de los vehículos;
- Asegurando los vehículos por diseño para mitigar los riesgos a lo largo de la cadena de valores;
- Detectando y respondiendo a los incidentes de seguridad a lo largo del parque automovilístico;
- Proporcionando actualizaciones de software seguras y garantizando que la seguridad de los automóviles no corre peligro, introduciendo una base legal para las denominadas actualizaciones por aire (“Over-the-Air” - O.T.A. – en sus siglas en inglés) para el software integrado al vehículo.
Los Reglamentos se aplicarán a los turismos, furgonetas, camiones y buses. Entrarán en vigor en enero de 2021.
Japón ha indicado que prevé aplicar estos Reglamentos cuando entren en vigor.
La República de Corea ha adoptado un enfoque gradual, introduciendo las disposiciones del Reglamento sobre Ciberseguridad en una directriz nacional en la segunda mitad de 2020, y procediendo con la aplicación del Reglamento en una segunda fase.
En la Unión Europea, el nuevo Reglamento sobre Ciberseguridad será obligatorio para todos los nuevos tipos de coche a partir de julio de 2022 y será obligatorio para todos los nuevos vehículos producidos desde julio de 2024.
Juntos, la UE, la República de Corea y Japón, representaron alrededor de 32 millones de vehículos producidos en 2018, representando un poco más de un tercio de la producción mundial.
Habida cuenta del uso generalizado de los Reglamentos de Naciones Unidas en el sector automovilístico en todo el mundo, se espera una amplia adopción de dichos Reglamentos en todo el mundo, más allá de las 54 partes contratantes del Acuerdo de 1958 de la CEPE.
De acuerdo con estimaciones recientes, la necesidad de reforzar la ciberseguridad automovilística desencadenará inversiones masivas –aumentando de 4,9 mil millones de dólares en 2020 a 9,7 mil millones de dólares en 2030. El marco proporcionado por los dos nuevos Reglamentos de Naciones Unidas estimulará oportunidades innovadoras y económicas entre los proveedores, las compañías tecnológicas, las empresas especializadas y las start-ups, especialmente en los mercados de desarrollo de software y servicios.
Nota a los editores
Sobre el Foro Mundial de la CEPE para la Armonización de la Reglamentación sobre Vehículos
El Foro Mundial para la Armonización de la Reglamentación sobre Vehículos (WP.29), acogida por la Comisión Económica para Europa de Naciones Unidas (CEPE), es la plataforma intergubernamental que define las normas aplicadas por el sector automovilístico en todo el mundo.
Sobre el Reglamento de Naciones Unidas sobre la Ciberseguridad y los Sistemas de gestión de ciberseguridad
El reglamento se aplica a los pasajeros de coches, furgonetas, camiones y buses, vehículos livianos de cuatro ruedas si están equipados con las funcionalidades de conducción automatizada del nivel 3 en adelante –esto cubre los nuevos minibuses automatizados; los remolques si están equipados con al menos una unidad de control electrónica.
El texto del Reglamento está disponible en: http://www.unece.org/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf
El Reglamento de Naciones Unidas ofrece un marco para el sector automovilístico para establecer los procesos necesarios para:
- Identificar y gestionar riegos de ciberseguridad en el diseño del vehículo;
- Verificar que los riesgos son gestionados, incluidas las pruebas;
- Garantizar que las evaluaciones de los riesgos se actualizan;
- Controlar los ciberataques y responder a ellos efectivamente;
- Apoyar el análisis de las tentativas de ataque exitosas;
- Determinar si las medidas de ciberseguridad continúan siendo efectivas ante nuevas amenazas y vulnerabilidades.
Todo ello será auditado por los servicios técnicos o autoridades de homologación nacionales.
Los principios de aprobación de tipo en el marco del Acuerdo de 1958 establecen que los fabricantes tendrán que demostrar, antes de poner los vehículos en el mercado, que cumplen con los siguientes requisitos:
- El Sistema de gestión de ciberseguridad se ha establecido y su aplicación en condiciones reales está disponible;
- Proporcionar análisis de evaluación de riesgo, identificar lo esencial;
- Se identifican medidas de mitigación para reducir los riesgos;
- Evidencia mediante ensayos de que las medidas de mitigación funcionan como previsto;
- Las medidas para detectar y prevenir ciberataques se han establecido;
- Las medidas para apoyar datos forenses se han establecido;
- Vigilar actividades específicas para el tipo de coche;
- Informes de actividades de seguimiento serán transmitidos a la autoridad de homologación competente.
Sobre el Reglamento de Naciones Unidas sobre las Actualizaciones de Software y los Sistemas de Gestión de Actualizaciones de Software
El Reglamento se aplica en vehículos que permitan actualizaciones de software de turismos, furgonetas, camiones y buses; remolques; vehículos agrarios.
El texto del Reglamento está disponible en: https://undocs.org/ECE/TRANS/WP.29/2020/80
El Reglamento de Naciones Unidas ofrece un marco para el sector automovilístico para establecer los procesos necesarios para:
- Grabar las versiones de hardware y software relevantes que correspondan con el tipo de vehículo;
- Identificar software para la aprobación de tipo correspondiente;
- Verificar que el software en un componente es cómo debería ser;
- Identificar interdependencias, especialmente concernientes a las actualizaciones de software;
- Identificar los objetivos de los vehículos y verificar que su compatibilidad con una actualización;
- Determinar si una actualización de software afecta la aprobación de tipo o los parámetros legalmente definidos (inclusive añadir o quitar una función);
- Determinar si una actualización afecta a la seguridad o a la conducción segura;
- Informar a los titulares de los vehículos sobre las actualizaciones;
- Documentar todo lo anterior.
Todo ello seré auditado por los servicios técnicos o las autoridades de homologación nacionales.
Las aprobaciones de tipo en el marco del Acuerdo de 1958 establecen que los fabricantes tendrán que demostrar, antes de introducir los vehículos en el mercado, que cumplen con los siguientes requisitos:
- El Sistema de Gestión de Actualización del Software ya se ha establecido y su aplicación en los vehículos en circulación está disponible;
- Proteger el proceso de actualización y garantizar la integridad y la autenticidad;
- Los números de identificación de software deben ser protegidos;
- El número de identificación del software es legible por el vehículo;
- Para actualizaciones de software por aire (Over-The-Air):
- Restaurar la función si la actualización falla;
- Ejecutar la actualización solamente con suficiente energía;
- Asegurar la ejecución segura;
- Informar a los usuarios de cada actualización y de su finalización;
- Asegurar que el vehículo sea capaz de llevar a cabo la actualización;
- Informar al usuario cuando se requiera un mecánico.