La ciberseguridad, un requisito clave en la industria del automóvil

La industria del automóvil está experimentando una nueva revolución industrial. La transformación digital, el internet de las cosas y una conectividad sin precedentes están cambiando no solo el propio automóvil, sino también el modelo de negocio a lo largo de toda su cadena de valor: desde el diseño y la fabricación de vehículos autónomos y conectados, hasta los servicios completamente personalizados de mantenimiento y de atención post-venta.

Un dato muy significativo en este contexto de transformación digital es que en 2020 se estima que cada uno de nosotros tendrá 26 dispositivos conectados a internet. Por tanto, cuantos más dispositivos conectados, mucha más información generada y accesible desde cualquier dispositivo. Asimismo, debemos tener en cuenta que el 90% de la información actualmente disponible en Internet se ha creado en los 2 últimos años, de ahí que se espere un crecimiento aún mayor en este período.

En este sentido, la adaptación a estos cambios, por parte del sector del automóvil puede suponer una ventaja competitiva para aquellas compañías que los sepan gestionar adecuadamente y sean capaces de monetizar los grandes volúmenes de datos generados en torno a la transformación digital y al auge de la conectividad.

Sin embargo, si dicha información no se gestiona y protege correctamente, lejos de ser una ventaja competitiva, puede suponer un serio riesgo de ciberseguridad y un misil directo a la línea de flotación de la compañía, poniendo en entredicho su viabilidad. Desde el momento en el que un vehículo puede conectarse a un Smartphone y a Internet, se expone a que un potencial atacante pueda llegar a acceder y controlar la estabilidad del coche explotando una vulnerabilidad en el Smartphone o en cualquier aplicación instalada en el mismo.

Ya no se trata solamente de proteger la información y sistemas sensibles de la empresa, sino que la ciberseguridad en la industria del automóvil debe abarcar otros aspectos tan relevantes como la propia seguridad del conductor del vehículo conectado y la privacidad de sus datos.

En este contexto de revolución tecnológica, donde además existe una creciente sofisticación de las ciberamenazas y de las técnicas empleadas por los atacantes, la ciberseguridad constituye uno de los principales retos a los que se debe enfrentar la industria del automóvil.

Así pues, ¿cuáles son los principios clave de la ciberseguridad en la industria del automóvil?

1. 1) Desarrollar un programa de ciberseguridad integral, es decir, que no se limite únicamente a la seguridad de los sistemas IT tradicionales, sino que incluya todos los sistemas y dispositivos utilizados en un entorno industrial como el del automóvil.
2. 2) Gestionar los riesgos de ciberseguridad. Las amenazas y riesgos de ciberseguridad evolucionan rápida y constantemente, lo que hace que cada vez sea más importante que las compañías adopten un enfoque de ciberseguridad orientada a la gestión continua de riesgos, de tal modo que se pueda priorizar lo verdaderamente importante, siendo conscientes de que no se puede proteger todo por igual.
3. 3) Generar conciencia en materia de ciberseguridad. Las personas somos el eslabón más débil de la cadena de ciberseguridad de una compañía, ya que por norma general somos quienes, por error o desconocimiento, caemos víctimas de ataques de Phishing o de ingeniería social, provocando así un serio problema de ciberseguridad para nuestra compañía.
4. 4) Definir e implementar métodos de desarrollo seguros, desde el diseño y a lo largo de todo el ciclo de desarrollo de un vehículo, así como de cualquier otro dispositivo conectado. Los fabricantes deben ser capaces de definir, diseñar, implementar y testear con rigurosidad los requisitos de ciberseguridad de todos los componentes del vehículo desde el mismo momento de su concepción (desde las unidades de control, las redes de comunicaciones y la electrónica, hasta las conexiones del vehículo con el exterior).
5. 5) Crear una política de actualizaciones de seguridad. El vehículo conectado estará compuesto por una gran variedad de dispositivos y componentes tecnológicos que, igual que el resto de dispositivos que manejamos todos hoy en día, van a tener que actualizarse periódicamente con nuevas versiones software.¿Os imagináis qué podría pasar si se produjera un error grave en una actualización durante un trayecto? Dado que se podría llegar a poner en riesgo la vida de los ocupantes de un vehículo, es evidente que la política de actualizaciones de seguridad deberá tratarse con sumo cuidado. Algunas actualizaciones sí podrán realizarse “over- the-air”, sin embargo muchas otras deberán ejecutarse cuando el vehículo esté parado.
6. 6) Proporcionar respuesta a incidentes y recuperación. Actualmente, la cuestión ya no reside tanto en ‘si’ hemos sido atacados, sino en la importancia del ‘cuándo’ y el ‘cómo’. Así pues, disponer de programas completos para detectar y responder adecuadamente frente a un incidente de ciberseguridad ya no es una opción, sino una necesidad creciente.
7. 7) Mejorar el modelo de intercambio de información entre los actores del sector. El sector del automóvil se caracteriza por el elevado número de colaboradores que participan a lo largo del ciclo de desarrollo de un vehículo: ingenierías y diseñadores de prototipos, proveedores de materiales, fabricantes de componentes, operadores post- venta,... Y en este contexto, la madurez y efectividad de la ciberseguridad depende de todos y cada uno de los actores que participan en la fabricación del vehículo.

En definitiva, la digitalización y la conectividad son los principales elementos de la revolución tecnológica de la industria del automóvil, y por este motivo la ciberseguridad se convierte en uno de los principales retos a los que se debe enfrentar el sector de la automoción, siendo la propia seguridad del conductor del vehículo y la privacidad de sus datos sus principales preocupaciones.

Para garantizar el éxito y efectividad de la función de ciberseguridad en el sector se deberá conseguir, en primera instancia, el compromiso de la dirección de la compañía. Una vez logrado, se podrá articular un programa de ciberseguridad integral con una clara orientación a la gestión del riesgo y la securización del vehículo y todos sus componentes de los objetivos y la estrategia del negocio, así como la asistencia para el cumplimiento de las obligaciones normativas y legales.

Xavier Ferré es Socio Responsable de automoción y Transporte de EY