Los vehículos sin certificado de ciberseguridad se enfrentarán a multas de 30.000 euros por unidad para los modelos que no cumplan la normativa desde el 22 de enero de 2021 y está norma afecta a coches, autobuses, camiones, autocaravanas y remolques, según Eurocybcar
Para que los coches se puedan comercializar en Europa, la Unión Europea exige a los fabricantes que sus modelos cumplan determinados requisitos de homologación, sobre todo, en lo que se refiere a su seguridad. Desde el año 2000 hasta el día de hoy, la Unión Europea ha hecho obligatorios en el equipamiento de los coches los siguientes sistemas de seguridad:
Según EUROCYBCAR, desde 2012 se han documentado más de 400 ciberataques que afectan a modelos de 43 marcas diferentes
ALGUNAS DE LAS TECNOLOGÍAS QUE EQUIPAN LOS VEHÍCULOS... -y lo que podrían hacer los ciberdelincuentes con ellas- son:
Se prevé que para el año 2023 circulen por el mundo 775 millones de coches conectados .
Los vehículos autónomos, que equipan un software más complejo, también van a ir en aumento: se estima que en 2026 circularán 50 millones de automóviles sin conductor. Hasta ahora, los diversos gobiernos y organismos reguladores de todo el mundo habían creado normativas que garantizasen la seguridad física de los vehículos y sus pasajeros, pero la ciberseguridad había quedado fuera de esos marcos reguladores
Esta nueva normativa obligará a que los coches que se comercialicen en el espacio de la UE tengan un certificado de ciberseguridad. Consciente de los riesgos de ciberseguridad de los vehículos, UNECE WP.29 aprobó, el 23 de junio de 2020, el reglamento UNECE/TRANS/WP.29/2020/79. Esta normativa exigirá que los vehículos cuenten con un certificado que acredite que están protegidos frente a ciberataques. Y la Unión Europea hará obligatorio este reglamento en todo su territorio para los vehículos -coches, autobuses, camiones, furgonetas y remolques- de nueva homologación a partir del 1 de julio de 2022 y para todos los nuevos a partir del 1 de julio del 2024. Se trata, por tanto, de una normativa muy ambiciosa para la Unión Europea, que cerrará el mercado a vehículos que no sean ciberseguros mucho antes, incluso, que aquellos con motores de combustión. Y es que lo máximo que, por el momento, propone la UE en materia de contaminación es multar a los fabricantes cuya media de emisiones de los vehículos que vendan exceda los 95 gramos de CO2 por kilómetro
El 23 de junio de 2020, se aprobó esta norma que regula la ciberseguridad de los vehículos conectados y autónomos. La norma en cuestión es la UNECE/TRANS/WP.29/2020/79 y se titula “Reglamento de las Naciones Unidas sobre disposiciones uniformes relativas a la aprobación de vehículos con respecto a la ciberseguridad y el sistema de gestión de ciberseguridad”.
TRATA SOBRE MEDIDAS UNIFORMES NECESARIAS para crear un sistema de gestión de ciberseguridad en los vehículos. Es decir, un sistema que trate el riesgo asociado con las amenazas y que protege los vehículos de ataques cibernéticos.
El CSMS es un sistema de procesos que, en conjunto, deben garantizar la ciberseguridad del vehículo de forma adecuada frente a diferentes ciberataques. Un CSMS que cumpla con los requisitos marcados por la ONU significará que ese fabricante gestiona la ciberseguridad de sus modelos a lo largo de todo su ciclo de vida: desarrollo, producción y posproducción. Además, cada una de esas fases incluirá protecciones contra sus amenazas de ciberseguridad específicas.
AMENAZAS RELACIONADAS CON LOS SERVIDORES BACK-END. Estos servidores son los hacen que todo el sistema informático de los vehículos o las redes informáticas internas del fabricante funcionen. Se deberán evitar, entre otras amenazas, pérdidas de información en la nube, filtraciones de información por compartir datos de forma involuntaria y que un trabajador haga un uso ilícito de los datos a los que tiene acceso.
AMENAZAS RELACIONADAS CON LOS CANALES DE COMUNICACIÓN QUE USA EL VEHÍCULO PARA CONECTARSE CON SU ENTORNO -por ejemplo, otros vehículos o la infraestructura-. Se deberán evitar, entre otras amenazas, que se pueda suplantar la identidad de otros vehículos, inyectar malware -programas que dañan los sistemas informáticospor los canales de comunicación y manipular o eliminar los datos y códigos del software del vehículo
AMENAZAS A LAS CONEXIONES Y CONECTIVIDAD EXTERNA. Se deberán evitar, entre otras amenazas, la manipulación de funciones remotas, como la llave, el inmovilizador y la batería; manipular las conexiones telemáticas del vehículo, como la medición de la temperatura de la mercancía en vehículos industriales o desbloquear las puertas de forma remota; y causar interferencias en los sistemas inalámbricos de corto alcance o sensores
AMENAZAS A LOS DATOS/CÓDIGO DEL VEHÍCULO. Se deberán evitar, entre otras amenazas, que se pueda acceder sin deber a la información privada del propietario -quién es, su cuenta bancaria, ubicación, identificación electrónica del vehículo- y falsificar la identidad o manipular datos del vehículo -kilometraje, velocidad de conducción, enviar mensajes falsos e indicaciones al conductor, etc.-.
AMENAZAS RELACIONADAS CON LOS PROCEDIMIENTOS DE ACTUALIZACIÓN DE LOS VEHÍCULOS. Se deberá de evitar cualquier tipo de amenaza que afecte a los procesos de actualización de los sistemas informáticos de los vehículos, ya sea que se lleven a cabo de forma inalámbrica -Over The Air- o mediante una descarga
AMENAZAS RELACIONADAS CON ACCIONES HUMANAS NO INTENCIONADAS. Se deberán de evitar, entre otras amenazas, que alguien con acceso al vehículo -como el propietario o un mecánicopueda introducirle un virus de forma involuntaria si lo engaña un ciberdelincuente.
POSIBLES AMENAZAS QUE PODRÍAN EXPLOTARSE SI NO SE PROTEGEN O REFUERZAN LO SUFICIENTE. Se deberán de evitar, entre otras amenazas, fallos de software, que la información del primer propietario del vehículo pase al segundo dueño -en caso de venderse en el mercado de ocasión-, o que se reemplacen elementos del vehículo que cumplan con la norma por otros que la incumplan.
Además, también deberán comprobar que todos los proveedores de su cadena de suministro identifican y gestionan los riesgos de ciberseguridad del componente que proporcionan. Por tanto, los proveedores no están directamente obligados a cumplir con los requisitos de ONU/UNECE WP.29, pero no hacerlo les perjudicará a la hora de ser competitivos y no serán rentables. Si bien la normativa de ONU/UNECE WP.29 establece un marco regulatorio y unos requisitos mínimos para los fabricantes a lo largo de la cadena de valor, el texto no incluye una guía de implementación detallada para traducir los requisitos en métodos concretos que eviten los ciberataques. Es decir, a los fabricantes se les proporciona un listado con los riesgos que deben evitar en sus modelos a lo largo de todo el ciclo de vida del vehículo, pero, por el momento, deben de ser ellos quienes piensen cómo darles solución, aunque el certificado deberá emitirlo un entidad externa
Para estimar la cantidad de vehículos que se verían afectados cada año por la normativa de ONU/UNECE WP.29, se ha tomado como referencia 2019 -el último año completo del que se tienen datos de ventas de vehículos-. Ese año, en todo el mundo se vendieron 91.358.457 vehículos.
De esa cifra, 22.126.597 unidades se vendieron en la UE, Japón y Corea del Sur -los países que ya han confirmado que aplicarán el reglamento de ONU/UNECE WP.29-, distribuidas de la siguiente manera:
Para que los coches se puedan comercializar en Europa, la Unión Europea exige a los fabricantes que sus modelos cumplan determinados requisitos de homologación, sobre todo, en lo que se refiere a su seguridad. Desde el año 2000 hasta el día de hoy, la Unión Europea ha hecho obligatorios en el equipamiento de los coches los siguientes sistemas de seguridad:
Según EUROCYBCAR, desde 2012 se han documentado más de 400 ciberataques que afectan a modelos de 43 marcas diferentes
ALGUNAS DE LAS TECNOLOGÍAS QUE EQUIPAN LOS VEHÍCULOS... -y lo que podrían hacer los ciberdelincuentes con ellas- son:
- Bluetooth: chantajearte, suplantar tu identidad o acosarte.
- Llamada de emergencia E-Call: impedir que te asistan en un accidente.
- Airbags: activarlo o desactivarlo a distancia.
- Llave inteligente: robarte el coche o "encerrarte" dentro de él.
- WiFi: espiarte, chantajearte o suplantar tu identidad.
- GPS: con el objetivo de secuestrarte, espiarte o chantajearte.
- Radio-RDS: dar información falsa. Y, en el futuro, esta tendencia irá a más
Se prevé que para el año 2023 circulen por el mundo 775 millones de coches conectados .
Los vehículos autónomos, que equipan un software más complejo, también van a ir en aumento: se estima que en 2026 circularán 50 millones de automóviles sin conductor. Hasta ahora, los diversos gobiernos y organismos reguladores de todo el mundo habían creado normativas que garantizasen la seguridad física de los vehículos y sus pasajeros, pero la ciberseguridad había quedado fuera de esos marcos reguladores
LAS NORMATIVAS QUE LA UNIÓN EUROPEA TOMA DE NACIONES UNIDAS Y la próxima normativa que la UE implementará es la ONU/UNECE WP.29
Además de generar normativas propias, la Unión Europea debe adherirse a las normativas que aprueba el Foro Mundial de UNECE para la Armonización de las Regulaciones de Vehículos -conocido como UNECE WP.29-. La Comisión Económica de las Naciones Unidas para Europa, o en inglés United Nations Economic Commission for Europe -UNECE-, fue creada en 1947 como una "comisión regional" de las Naciones Unidas, en la cual están incluidos 56 países miembros de Europa, Norteamérica y Asia . Con sede en Ginebra, la UNECE tiene como propósito principal promover la integración económica y la cooperación entre los países miembros, así como promover el desarrollo sostenible y la prosperidad económica. UNECE también establece normas, estándares y convenciones para facilitar la cooperación internacional tanto dentro como fuera de la región y, por ello, numerosos países fuera de la región utilizan los mismos estándares y normativa de la UNECE. Dentro de UNECE existe el citado Foro Mundial para la Armonización de las Regulaciones de Vehículos -WP.29-. UNECE WP.29 tiene el objetivo de crear, actualizar y mantener las regulaciones de los vehículos relacionadas con su tecnología, su seguridad y su protección del medio ambiente. Este es el sistema internacional de regulación de vehículos más grande del mundo, porque 54 de sus países miembros -todos, salvo Estados Unidos y Canadá- tienen firmado un acuerdo desde 1958 por el cual se comprometen a reconocer y a aplicar dentro de sus fronteras las normativas aprobadas por UNECE WP.29
ALGUNAS DE LAS NORMATIVAS QUE LA UNIÓN EUROPEA HA ADOPTADO DE UNECE WP.29 SON:
- Reglamento nº 151. - Disposiciones uniformes relativas a la homologación de vehículos de motor con respecto al sistema de información de puntos ciegos para la detección de bicicletas .
- Reglamento nº 44. - Disposiciones uniformes relativas a la homologación de dispositivos de retención para niños ocupantes de vehículos de motor -Sistemas de retención infantil
A ESTOS REGLAMENTOS HAY QUE SUMAR, PRÓXIMAMENTE, UNO MÁS: EL WP.29/2020/79
Esta nueva normativa obligará a que los coches que se comercialicen en el espacio de la UE tengan un certificado de ciberseguridad. Consciente de los riesgos de ciberseguridad de los vehículos, UNECE WP.29 aprobó, el 23 de junio de 2020, el reglamento UNECE/TRANS/WP.29/2020/79. Esta normativa exigirá que los vehículos cuenten con un certificado que acredite que están protegidos frente a ciberataques. Y la Unión Europea hará obligatorio este reglamento en todo su territorio para los vehículos -coches, autobuses, camiones, furgonetas y remolques- de nueva homologación a partir del 1 de julio de 2022 y para todos los nuevos a partir del 1 de julio del 2024. Se trata, por tanto, de una normativa muy ambiciosa para la Unión Europea, que cerrará el mercado a vehículos que no sean ciberseguros mucho antes, incluso, que aquellos con motores de combustión. Y es que lo máximo que, por el momento, propone la UE en materia de contaminación es multar a los fabricantes cuya media de emisiones de los vehículos que vendan exceda los 95 gramos de CO2 por kilómetro
QUÉ DICE EL REGLAMENTO DE ONU/UNECE WP.29
El 23 de junio de 2020, se aprobó esta norma que regula la ciberseguridad de los vehículos conectados y autónomos. La norma en cuestión es la UNECE/TRANS/WP.29/2020/79 y se titula “Reglamento de las Naciones Unidas sobre disposiciones uniformes relativas a la aprobación de vehículos con respecto a la ciberseguridad y el sistema de gestión de ciberseguridad”.
TRATA SOBRE MEDIDAS UNIFORMES NECESARIAS para crear un sistema de gestión de ciberseguridad en los vehículos. Es decir, un sistema que trate el riesgo asociado con las amenazas y que protege los vehículos de ataques cibernéticos.
- Alcance: a qué vehículos afecta la norma.
- Definiciones de algunos términos empleados a lo largo del reglamento.
- Solicitud de aprobación: documentación a presentar para lograr la aprobación.
- Marca de homologación: símbolo que deberán incluir los vehículos que cumplan el reglamento en su placa de identificación.
- Aprobación: papel de la entidad verificadora del cumplimiento del reglamento.
- Certificado de cumplimiento con el reglamento.
- Especificaciones: detalle de las exigencias que el reglamento hará cumplir.
- Modificaciones y extensiones del tipo de vehículo: cómo efectuar modificaciones en los vehículos.
- Conformidad de la producción.
- Sanciones por no conformidad de la producción.
- Interrupción definitiva de la producción: cómo comunicar que un vehículo cesa su producción.
- ANEXOS.
12.1 Ficha de comunicación sobre la Entidad Autorizada.
12.2 Comunicación de homologación.
12.3 Características de la marca de homologación.
12.4 Modelo del certificado de cumplimiento
12.5 Lista de amenazas a evitar y sus correspondientes modificaciones.
ESTE REGLAMENTO PROPORCIONA UN MARCO PARA QUE EL SECTOR AUTOMOTOTRIZ ESTABLEZCA LOS PROCESOS NECESARIOS PARA
- Identificar y gestionar los riesgos de ciberseguridad en el diseño de vehículos.
- Verificar que se gestionen los riesgos, incluidas las pruebas
- Asegurar que las evaluaciones de riesgos se mantengan actualizadas.
- Monitorizar los ciberataques y que se responda efectivamente a ellos
- Analizar los ataques exitosos o intentados
- Evaluar si las medidas de ciberseguridad siguen siendo efectivas a la luz de las nuevas amenazas y vulnerabilidades
 |
| Los vehículos sin certificado de ciberseguridad se enfrentarán a multas de 30.000 euros |
EL CSMS(SISTEMA DE GESTIÓN DE CIBERSEGURIDAD) DEBERÁ PROTEGER A LOS VEHÍCULOS CONTRA 70 AMENAZAS DE CIBERSEGURIDAD ESPECÍFICAS, SEGÚN LA NORMATIVA ONU/UNECE
El CSMS es un sistema de procesos que, en conjunto, deben garantizar la ciberseguridad del vehículo de forma adecuada frente a diferentes ciberataques. Un CSMS que cumpla con los requisitos marcados por la ONU significará que ese fabricante gestiona la ciberseguridad de sus modelos a lo largo de todo su ciclo de vida: desarrollo, producción y posproducción. Además, cada una de esas fases incluirá protecciones contra sus amenazas de ciberseguridad específicas.
AMENAZAS RELACIONADAS CON LOS SERVIDORES BACK-END. Estos servidores son los hacen que todo el sistema informático de los vehículos o las redes informáticas internas del fabricante funcionen. Se deberán evitar, entre otras amenazas, pérdidas de información en la nube, filtraciones de información por compartir datos de forma involuntaria y que un trabajador haga un uso ilícito de los datos a los que tiene acceso.
AMENAZAS RELACIONADAS CON LOS CANALES DE COMUNICACIÓN QUE USA EL VEHÍCULO PARA CONECTARSE CON SU ENTORNO -por ejemplo, otros vehículos o la infraestructura-. Se deberán evitar, entre otras amenazas, que se pueda suplantar la identidad de otros vehículos, inyectar malware -programas que dañan los sistemas informáticospor los canales de comunicación y manipular o eliminar los datos y códigos del software del vehículo
AMENAZAS A LAS CONEXIONES Y CONECTIVIDAD EXTERNA. Se deberán evitar, entre otras amenazas, la manipulación de funciones remotas, como la llave, el inmovilizador y la batería; manipular las conexiones telemáticas del vehículo, como la medición de la temperatura de la mercancía en vehículos industriales o desbloquear las puertas de forma remota; y causar interferencias en los sistemas inalámbricos de corto alcance o sensores
AMENAZAS A LOS DATOS/CÓDIGO DEL VEHÍCULO. Se deberán evitar, entre otras amenazas, que se pueda acceder sin deber a la información privada del propietario -quién es, su cuenta bancaria, ubicación, identificación electrónica del vehículo- y falsificar la identidad o manipular datos del vehículo -kilometraje, velocidad de conducción, enviar mensajes falsos e indicaciones al conductor, etc.-.
AMENAZAS RELACIONADAS CON LOS PROCEDIMIENTOS DE ACTUALIZACIÓN DE LOS VEHÍCULOS. Se deberá de evitar cualquier tipo de amenaza que afecte a los procesos de actualización de los sistemas informáticos de los vehículos, ya sea que se lleven a cabo de forma inalámbrica -Over The Air- o mediante una descarga
AMENAZAS RELACIONADAS CON ACCIONES HUMANAS NO INTENCIONADAS. Se deberán de evitar, entre otras amenazas, que alguien con acceso al vehículo -como el propietario o un mecánicopueda introducirle un virus de forma involuntaria si lo engaña un ciberdelincuente.
POSIBLES AMENAZAS QUE PODRÍAN EXPLOTARSE SI NO SE PROTEGEN O REFUERZAN LO SUFICIENTE. Se deberán de evitar, entre otras amenazas, fallos de software, que la información del primer propietario del vehículo pase al segundo dueño -en caso de venderse en el mercado de ocasión-, o que se reemplacen elementos del vehículo que cumplan con la norma por otros que la incumplan.
LA RESPONSABILIDAD DE CUMPLIR CON EL CSMS SERÁ DE LOS OEM -FABRICANTES-.
Además, también deberán comprobar que todos los proveedores de su cadena de suministro identifican y gestionan los riesgos de ciberseguridad del componente que proporcionan. Por tanto, los proveedores no están directamente obligados a cumplir con los requisitos de ONU/UNECE WP.29, pero no hacerlo les perjudicará a la hora de ser competitivos y no serán rentables. Si bien la normativa de ONU/UNECE WP.29 establece un marco regulatorio y unos requisitos mínimos para los fabricantes a lo largo de la cadena de valor, el texto no incluye una guía de implementación detallada para traducir los requisitos en métodos concretos que eviten los ciberataques. Es decir, a los fabricantes se les proporciona un listado con los riesgos que deben evitar en sus modelos a lo largo de todo el ciclo de vida del vehículo, pero, por el momento, deben de ser ellos quienes piensen cómo darles solución, aunque el certificado deberá emitirlo un entidad externa
A QUÉ VEHÍCULOS AFECTARÁ LA NORMATIVA ONU/UNECE WP.29
EL REGLAMENTO SE APLICARÁ A LAS SIGUIENTES CATEGORÍAS DE VEHÍCULOS
- CATEGORÍA M. Vehículos a motor destinados al transporte de personas y que tengan al menos cuatro ruedas, o tres ruedas y un peso máximo superior a 1 tonelada. Por ejemplo, turismos, autobuses y autocaravanas.
- CATEGORÍA N. Vehículos a motor destinados al transporte de mercancías y que tengan por lo menos cuatro ruedas, o tres ruedas y un peso máximo superior a 1 tonelada. Por ejemplo, furgonetas y camiones.
- CATEGORÍA O. Remolques y caravanas con una unidad de control electrónico.
- CATEGORÍAS L6 Y L7. Cuadriciclos con o sin cabina para el transporte de personas. En este caso, solo les afecta el reglamento si están equipados con funciones de conducción automatizada desde el nivel 3 en adelante. Por tanto, todos los fabricantes de turismos, furgonetas, camiones y autobuses que quieran homologar nuevos modelos a partir del 1 de julio del 2022 o, simplemente, vender vehículos nuevos a partir del 1 de julio del 2024 en los países miembros de la UE deberán cumplir con los requisitos exigidos por la normativa ONU/UNECE WP.29.
¿A CUÁNTOS VEHÍCULOS AFECTARÁ?
Esa información ha sido recopilada a fecha de octubre de 2020. Es un calendario no oficial de lanzamientos previstos hasta el año 2022, basado en la información del ciclo de vida de los modelos actuales y en los datos recopilados por el equipo de expertos y análisis de mercado de Grupo Cybentia. Datos de Expansión disponibles en https://datosmacro.expansion. com/negocios/produccion-vehiculos
NÚMERO DE MODELOS ACTUALES QUE TIENEN A LA VENTA CADA GRUPO AUTOMOVILÍSTICO Y LOS QUE LANZARÁN HASTA 2022
Para estimar la cantidad de vehículos que se verían afectados cada año por la normativa de ONU/UNECE WP.29, se ha tomado como referencia 2019 -el último año completo del que se tienen datos de ventas de vehículos-. Ese año, en todo el mundo se vendieron 91.358.457 vehículos.
De esa cifra, 22.126.597 unidades se vendieron en la UE, Japón y Corea del Sur -los países que ya han confirmado que aplicarán el reglamento de ONU/UNECE WP.29-, distribuidas de la siguiente manera:
- 15.136.247 uds. vendidas en 2019 en la Unión Europea.
- 5.195.216 uds. vendidas en 2019 en Japón.
- 1.795.134 uds. vendidas en 2019 en Corea del Sur
A QUÉ SANCIONES SE ENFRENTAN LOS FABRICANTES SI NO CUMPLEN LA NORMATIVA
¿LOS FABRICANTES QUE INCUMPLAN EL REGLAMENTO DE LA ONU/UNECE WP.29 SE PUEDEN ENFRENTAR A DOS TIPOS DE SANCIONES: UNA DE LA PROPIA UNECE Y OTRA DE LA PROPIA UNIÓN EUROPEA
- En el caso de ONU/UNECE WP.29, el apartado 10 de su reglamento de ciberseguridad en vehículos afirma que un país podrá retirar la homologación concedida a un tipo de vehículo si descubre que no cumple con los requisitos establecidos por ONU/UNECE WP.29. Además, ese país deberá notificar inmediatamente la infracción al resto de estados que apliquen el reglamento
- De forma paralela, como para poder homologar vehículos en la UE será necesario cumplir con la normativa ONU/ UNECE WP.29 -según las condiciones explicadas anteriormente-, incumplirlo conllevará también incumplir el reglamento de homologación de la UE, por lo que el fabricante sería sancionado según el Reglamento sobre homologación y vigilancia del mercado de vehículos de motor . En él se afirma que, si la UE detecta que un fabricante ha infringido la normativa de homologación en sus vehículos, podrá sancionar a la marca con hasta 30.000€ por cada unidad que no reúna las condiciones de ciberseguridad exigidas. La UE también podrá retirar o suspender la homologación de tipo de esos vehículos.
Así,que los vehículos sin certificado de ciberseguridad se enfrentarán a multas de 30.000 euros por unidad para los modelos que no cumplan la normativa desde el 22 de enero de 2021 y está norma afecta a coches, autobuses, camiones, autocaravanas y remolques, según Eurocybcar
Comentarios
Publicar un comentario