Ciberseguridad Vehicular: una normativa internacional para medidas de seguridad y la privacidad de los usuarios. Nuevos retos para la protección ejecutiva.
La ciberseguridad vehicular, según informe de la empresa (EUROCYBCAR, desde 2012 se han documentado más de 400 ciberataques que afectan a modelos de 43 marcas diferentes), en este artículo compartido en su página web, podemos tomar conocimiento de los eventos que llevaron a la normativa (UNECE WP.29), iniciando desde caso más popular del hackeo de una Jeep Cherokee por parte de Charlie Miller y Chris Valasek.
El cumplimiento de la norma exige a los fabricantes la creación de un Sistema de Gestión de Ciberseguridad (CSMS), identificado por siglas en inglés. Este sistema deberá estar protegiendo a los vehículos contra 70 amenazas de ciberseguridad que el reglamento de la ONU hace referencia. Estas vulnerabilidades se dividen en 7 apartados que implican riesgos de alcance de forma física, remota o a través de aplicaciones vinculadas. En la actualidad, debemos notar la capacidad de procesamiento de datos que tienen estos vehículos modernos, lo que los convierte no solo en medios de transporte si no en un ordenador con ruedas.
El 23 de junio de 2020, es aprobada la UNECE/TRANS/WP.29/2020/79 bajo el título de “Reglamento de las Naciones Unidas sobre disposiciones uniformes relativas a la aprobación de vehículos con respecto a la ciberseguridad y el sistema de gestión de ciberseguridad”, esta normativa está aplicada a los vehículos conectados y autónomos. En enero de 2021 entra en vigor este reglamento y es disponible la aplicación para los estados miembros de la UNECE, siendo Unión Europea, Corea del Sur y Japón como los principales interesados.
En relación al proceso de certificación en los vehículos que entran a Europa, esta responsabilidad, queda en manos de una entidad externa al fabricante de vehículos que acredite que cumpla con los requisitos exigidos por la ONU/UNECE. El fabricante deberá contratar una compañía (autoridad externa) que certifique que su vehículo es ciberseguro, esto a través de un proceso de siete (7) pasos: 1. El fabricante implementa un sistema de gestión de ciberseguridad (SGCS), 2. El fabricante solicita un certificado de cumplimiento a la autoridad externa, 3. El SGCS es evaluado por la Autoridad Externa, 4. El fabricante firma una declaración de cumplimiento, 5. El fabricante recibe un certificado de ciberseguridad con tres (3) años de vigencia, 6. El fabricante desarrolla una arquitectura del vehículo con el SGCS, 7. El vehículo es evaluado por la autoridad externa, de ser favorable se emite un certificado al modelo.
La ciberseguridad vehicular es un aspecto novedoso y de suma importancia en este tipo de servicios, ya que los vehículos modernos cuentan con sistemas digitales e integrados que pueden ser vulnerados por hackers o espías. Estos ataques pueden comprometer la seguridad, la privacidad y la reputación de los protegidos, así como la funcionalidad y el rendimiento de los vehículos.
Es recomendable que los vehículos en servicios de Protección Ejecutiva deben contar con medidas de ciberseguridad adecuadas para prevenir, detectar y responder a posibles amenazas cibernéticas. Estas medidas deben abarcar tanto el hardware como el software de los vehículos, así como los dispositivos personales o profesionales que se conecten a ellos.
Por último y no menos importante, la capacitación y actualización del personal sobre estos temas, más la inclusión en los procesos de análisis de riesgo ya que atenta contra los objetivos de la protección ejecutiva o personalidades de impacto crítico.