Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Claves para aplicar las nuevas normativas de ciberseguridad para vehículos R155 y R156

Fecha de publicación 28/11/2024
Autor
INCIBE (INCIBE)
Claves para aplicar las nuevas normativas de ciberseguridad para vehículos

La intención de este artículo es presentar consejos para el cumplimiento y ayudar a entender la nueva regulación  emitida por la Comisión Económica de las Naciones Unidas para Europa (UNECE), referida a la ciberseguridad en vehículos.

Esta regulación consiste en dos reglamentos, R155 y R156, que estipulan los requisitos de ciberseguridad que los fabricantes deberán cumplir para optar a la homologación de vehículos que vayan a circular en los países de la Unión Europea.

En este artículo presentamos un caso de uso teórico para describir lo que implicaría la aplicación de estas normas a un fabricante genérico, a lo largo de su proceso productivo.

Etapa de diseño

Debido a la dura competencia del sector y los costes de operar fábricas de vehículos competitivas, la mayoría de los fabricantes en activo, actualmente, son empresas multinacionales de gran tamaño. Es habitual que este tipo de empresas cuenten con un nivel de madurez de ciberseguridad avanzado como punto de partida para abordar la nueva regulación. 

Las regulaciones R155 y R156 establecen dos homologaciones de ciberseguridad del vehículo, una para el sistema de gestión de ciberseguridad y otra para el sistema de distribución y aplicación de actualizaciones.

La nueva regulación estipula que las decisiones de ciberseguridad deben estar basadas en la correcta gestión de riesgos. El alcance de esta gestión deberá extenderse desde el vehículo, hasta los servidores externos que interactúen con él para su funcionamiento. 
Por ejemplo, suponiendo un caso teórico donde se identifican los siguientes elementos como dentro del alcance de la homologación:
 

Sistema

Criticidad

Dependencias

Conexiones

Desarrollo y fabricación

Control central

Crítica

N/A

Servidor propio

Interno 

Velocidad y frenos

Critica

Control central

Control central

Interno, con piezas de proveedores

Refrigeración motor

Alta 

Control central

Control central

Provisto por terceros

Refrigeración pasajeros

Media

Control central

Control central

Provisto por terceros

Radio y multimedia

Maja

Control central y servidor externo

Servidor externo

Provisto por terceros

- Ejemplo de conclusiones de análisis de riesgo (simplificado) -

Durante el análisis de riesgo, se estudia el posible efecto de las amenazas recogidas en el anexo 5 de la R155 sobre estos sistemas. Especialmente sobre aquellos identificados como críticos para la funcionalidad del vehículo. 

Amenaza

Impacto

Probabilidad

Servidores back-end utilizados como vector de ataque al vehículo
  • Alto.
  • Con accesos al servidor proprio del fabricante, un atacante podría ganar acceso total al sistema de control central del vehículo.
  • Media.
  • Los ataques a este tipo de equipos son bastante comunes.
  • Los servidores internos pueden ubicarse en entornos seguros y protegidos.
     
Manipulación de los datos o el código del vehículo
  • Alto.
  • Alterando el software del vehículo un atacante podría ganar control total del sistema.
  • Media.
  • Depende los sistemas de monitorización y control de accesos.
Violación de seguridad de los datos en transmisión
  • Medio.
  • Alterando el software del vehículo un atacante podría ganar control total del sistema.
  • Alta.
  • Información transmitida por redes inalámbricas externas mediante dispositivos del usuario y aplicaciones de terceros.
Manipulación física de los sistemas para facilitar un ataque 
  • Alto.
  • Un atacante podría modificar partes legítimas del vehículo o sustituirlas por elementos arbitrarios manipulados.
  • Media.
  • Requiere acceso físico al vehículo y equipamiento especializado para el ataque.

- Ejemplo de estudio de impacto de amenazas (simplificado) - 

La regulación R155 también requiere definir las medidas de mitigación aplicadas para estas amenazas. Para ello, facilita medidas pertinentes para minimizar el impacto de un potencial incidente. Sin embargo, las medidas de mitigación de la regulación son bastante generales, dejando su interpretación en manos de cada fabricante.

Amenaza

Medidas de mitigación

Posibles aplicaciones

Servidores back-end utilizados como vector de ataque al vehículo.

M1: Controles para minimizar riesgos de ataque interno.
  • Colección y análisis de registros de actividad de usuarios.
  • Implementar control de roles y privilegios.
     
M2: Controles en servidores back-end para minimizar accesos no autorizados.
  • Deshabilitar conexiones no necesarias a los servidores.
  • Monitorizar los servidores para detectar vulnerabilidades y conexiones sospechosas.
     
M8: Restringir acceso a los datos críticos al personal no autorizado.
  • Otorgar acceso a la información crítica solamente a usuarios específicos.
  • Establecer un sistema de etiquetado y cifrado de datos críticos, en tránsito y en reposo
     

Servidores back-end utilizados como vector de ataque al vehículo.

M7: Diseños y técnicas de control de acceso.
  • Separar los sistemas que ejecuten código de los accesibles por el usuario general.
M14: Medidas para proteger los sistemas frente a virus o software malicioso.
  • Verificación del software durante el proceso de arranque.
  • Software de detección de malware.
     
M18: Se aplicarán el principio del mínimo privilegio de acceso.
  • Se requerirán credenciales elevadas o conexiones físicas por personal especializado para cambiar a modo 'configuración'.

Violación de seguridad de los datos en transmisión.

M8: El diseño del sistema y el control de acceso protegerán ante el acceso no autorizado a datos críticos del sistema.
  • Verificar la integridad y la autenticidad de las comunicaciones antes de la transmisión de datos críticos.
  • Valorar la recogida de información crítica solo cuando el vehículo acuda a servicio técnico especializado.
     
M12: Se protegerán los datos confidenciales durante su transmisión.
  • Uso de protocolos de comunicación cifrados.
  • Las claves de cifrado se almacenarán fuera del vehículo en repositorios seguros.
  • Se monitorizarán las comunicaciones con los servidores centrales.
  • En ningún momento se transmitirán datos confidenciales del usuario sin su autorización explícita.
     

Manipulación física de los sistemas para facilitar un ataque.

M9: Se emplearán medidas para prevenir y detectar accesos no autorizados.
  • Elementos inaccesibles desde fuera del vehículo con el vehículo cerrado.
  • Autenticación de sistemas durante el proceso de arranque.
  • Etiquetas y cierres de garantía.
     

- Ejemplo de estudio de medidas de mitigación (simplificado) -

Para obtener la homologación, también es necesario que el fabricante proporcione información sobre los procesos de seguridad que seguirá durante la postproducción:

Proceso

Puntos por definir en el procedimiento

Monitorización y gestión de incidentes en el vehículo.

  • ¿Se van a integrar en el sistema de gestión y análisis de alertas de seguridad del fabricante?
  • ¿Cada cuanto se va a recibir información de seguridad de los vehículos y cómo se van a transmitir de manera segura?
  • ¿Qué acciones debería poder realizar el personal de respuesta de incidentes sobre los vehículos?

Ejecución segura de software.

  • ¿Cómo se van a aislar los diferentes entornos para cada programa?
  • ¿Cómo se va a proteger el acceso a los entornos seguros?
  • ¿Quién va a tener acceso a la configuración del software?

Actualización segura del vehículo.

  • ¿Dónde y cómo se van a probar las actualizaciones antes de suministrarlas?
  • ¿Cómo se va a mantener un registro de los vehículos a actualizar y las versiones instaladas? ¿Se van a requerir transmisión de los vehículos para enviar registros? 
  • ¿Cómo se van a suministrar las actualizaciones, en taller o de manera inalámbrica?
  • Para actualizaciones inalámbricas:
    • ¿Cómo se van a proteger la transmisión de la actualización?
    • ¿Cómo comprobará el vehículo que es una actualización auténtica?
    • ¿Cómo se va a notificar a los usuarios del proceso?
       

- Puntos a tratar en los nuevos procedimientos de seguridad del vehículo (simplificado). -

A partir del análisis de riesgos también se pueden definir los requisitos de seguridad a cumplir por los proveedores. En general, los fabricantes dependen de varios proveedores para diferentes sistemas del vehículo, encargándose ellos principalmente del ensamblado, el motor, el chasis y de elementos específicos al modelo y piezas demasiado especializadas o caras para producirlas externamente. Aunque la nueva regulación no estipule requisitos específicos para proveedores, sí que responsabiliza a los fabricantes de la ciberseguridad en su cadena de suministro.

Por tanto, se recomienda utilizar las conclusiones del análisis de riesgo como fuente de información a la hora de definir requisitos de ciberseguridad generales para sus proveedores y específicos para equipos y servicios concretos. 

Como se puede observar, realizar una gestión sistemática de la ciberseguridad desde el inicio del proyecto permite cumplir los requisitos de la regulación orgánicamente. Por ello, se recomienda una estrecha colaboración entre los equipos de diseño y de ciberseguridad ya que todos los problemas de compatibilidad y fallos de configuración que se solucionen en la etapa de diseño, facilitarán las siguientes etapas del proceso.

Etapa de producción

Primero, durante la fase de producción, el fabricante debería seguir los procedimientos y buenas prácticas de ciberseguridad industrial generales para empresas de mediano y gran tamaño (procedimientos de monitorización, gestión de accesos, resiliencia, etc.).

A nivel de acciones específicas para la regulación R155, destaca la necesidad de añadir pruebas de verificación de las medidas de mitigación en el proceso productivo. 

Se deberá de verificar el funcionamiento de todas las medidas de mitigación mediante pruebas técnicas, registrar los resultados y proporcionarlos en el momento de solicitud de la homologación.

También es el momento oportuno para recopilar el resto de información necesaria para el proceso de homologación:

  • Para la R155:
    • Sistemas incluidos en el vehículo, sus componentes y como interactúan entre ellos;
    • interfaces y conexiones externas de los sistemas del vehículo;
    • resultados de la evaluación de riesgos y los riesgos detectados;
    • medidas de mitigación implantadas;
    • entornos seguros específicos para la ejecución de software en el vehículo;
    • documentación de las pruebas técnicas realizadas para verificar el funcionamiento de las medidas de mitigación y su resultado;
    • consideraciones de ciberseguridad respecto a la cadena de suministro.
  • Para la R156:
    • Planos del vehículo y sus sistemas;
    • procedimientos de actualización segura a seguir. Se incluirá, como se notificará al usuario de la actualización, y el progreso del proceso de actualización, en caso de actualizaciones inalámbricas;
    • medidas de seguridad para la protección de los sistemas del vehículo y los identificadores RXSWIN.

Para ello, es recomendable el uso de herramientas de centralización y gestión de la información.

También es recomendable centralizar las comunicaciones de ciberseguridad en una persona, o equipo específico. Tener un punto de contacto definido para que los equipos acudan a resolver dudas durante las fases de diseño y producción es una herramienta muy útil para reducir los recursos gastados en comunicaciones o duplicación de trabajo.

Es importante también establecer relaciones de colaboración con los proveedores. En entornos industriales tan especializados es habitual tener una gran dependencia técnica de los proveedores. Establecer relaciones de colaboración con ellos y definir responsabilidades de ciberseguridad reduce la carga de trabajo de ambas partes a la vez que aumenta la eficacia de la relación y la ciberseguridad de los sistemas.

Etapa de Postproducción

Se diferencian dos etapas en la fase de postproducción del vehículo:

  • Vida útil del vehículo: el fabricante mantiene responsabilidades de ciberseguridad durante la vida útil del vehículo. Durante esta etapa, se deberán cumplir dos objetivos principales:
    • Mantener la ciberseguridad del vehículo monitorizado sin comprometer la confidencialidad del usuario.
      El fabricante deberá mantener sus vehículos identificados durante su vida útil. No solo a nivel estadístico, si no conocer los vehículos concretos y, al menos, con que versión de software y hardware cuenta cada uno.
      Además, las medidas de seguridad del vehículo deberían recoger y analizar informes de la actividad de los sistemas que permitan la detección de posibles ataques. 
      La regulación recalca la importancia asegurar la privacidad de los usuarios. Las medidas de monitorización de ciberseguridad nuevas que se introduzcan no deben entrar en conflicto con este objetivo. Así mismo, deben contribuir a que la información que sea necesario recopilar es tratada de forma segura y que asegura la confidencialidad de los datos.
    • Monitorizar y gestionar las vulnerabilidades de ciberseguridad y proporcionar actualizaciones de seguridad.
      La normativa no requiere explícitamente servicios de detección y gestión de vulnerabilidades locales en el vehículo. Por tanto, sería recomendable aplicar el procedimiento externamente en las instalaciones del proveedor, apoyándose del inventario de vehículo en uso.
      Se debería dedicar una especial atención a la verificación y al envío de actualizaciones. En especial, la distribución de vulnerabilidades en vehículos en uso representa un desafío nuevo para muchos fabricantes, con nuevos riesgos, como dejar inutilizado un vehículo que vaya a utilizarse o ya en funcionamiento. 
      La opción más sencilla, y utilizada hasta ahora en algunos modelos, es la actualización solo en talleres especializados. Pero este modelo es demasiado costoso para actualizaciones regulares de seguridad. Sin embargo, antes de suministrar actualizaciones directamente a vehículos o usuarios, sin pasar por taller, se deberá contar con medidas de verificación de integridad, autenticación de fuentes, testeo de la actualización y capacidad de restauración a estado anterior. Y todo ello con procesos que informen y puedan ser utilizados por el usuario medio.
    • Retirada y reúso: dada la longevidad de los automóviles, es importante que los fabricantes definan un proceso a seguir por los usuarios cuando la titularidad del automóvil cambie de manos. A diferencia de los equipos ICS habituales, es habitual que un vehículo cambie de usuario o propietario varias veces durante su vida útil, ya sea mediante el mercado de segunda mano o mediante el alquiler de vehículos.
      En estos casos, es necesario eliminar, o separar, los datos de diferentes usuarios para mantener su privacidad. También, se debe poder informar a los nuevos usuarios del uso de las medidas y proceso de ciberseguridad del vehículo.
      Un proceso similar debería existir cuando se vaya a pasar a retirar el vehículo. El fabricante debe saber si los equipos locales del vehículo almacenan información confidencial de los usuarios y, si es el caso, asegurar su destrucción cuando el vehículo se retire. 

Conclusiones

Las nuevas regulaciones R155, relativa al sistema de gestión de ciberseguridad del vehículo, y R156, relativa al sistema de actualización de software del vehículo, introducen un sistema de homologación de ciberseguridad de vehículos para los fabricantes.
Estos nuevos requisitos no se diferencian demasiado de los habituales a cumplir por sistemas de control industrial ya que incluyen gestión de vulnerabilidades, gestión de riesgo y verificación de medidas de seguridad, entre otros. Sin embargo, las características de trabajar con bienes de consumo móviles dificultan su aplicación considerablemente.

Se considera necesario que el fabricante adopte una visión de conjunto de su proceso productivo y de mantenimiento para poder alcanzar correctamente ambas homologaciones. Si el proceso de homologación se aborda desde el principio del diseño y se trabaja de manera sistemática, coordinada y en colaboración con las partes interesadas, el fabricante será capaz de aprovechar las oportunidades para hacer el proceso más eficaz y eficiente.

Por último, aunque se ha mencionado a lo largo del artículo, cabe destacar que un nivel de madurez de ciberseguridad alto se considera una buena base (si no un requisito esencial) para poder abordar los nuevos requisitos de la R155 y R156. No contar con los procedimientos y medidas de ciberseguridad necesarios para la organización puede dificultar significativamente el cumplimiento de los nuevos requisitos y, en el peor de los casos, introducir vulnerabilidades de ciberseguridad desconocidas durante el proceso.

Etiquetas