El último estándar de ciberseguridad automotriz, ISO / SAE 21434, tiene como objetivo proporcionar a los vehículos conectados una protección sólida contra ataques cibernéticos maliciosos. El estándar requiere que los OEM y sus cadenas de suministro apliquen un enfoque de seguridad por diseño a sus componentes, servidores y procesos para reducir el riesgo de ser vulnerables a ataques en cualquier momento de la vida útil de un vehículo, desde el concepto inicial y las fases de diseño hasta fin de la vida.
Según ISO / SAE 21434, se debe considerar la seguridad para todos los sistemas electrónicos en el automóvil conectado, en cada etapa, desde el concepto hasta la fabricación y el desmantelamiento, y los sistemas deben diseñarse de tal manera que ofrezcan una protección sólida contra las amenazas en evolución. Los requisitos definidos por el estándar deben estar integrados en el ADN de una empresa, y las organizaciones deben implementar un Sistema de Gestión de Seguridad Cibernética (CSMS), incluida la gestión de riesgos de seguridad cibernética.
Los vehículos conectados se comunicarán inevitablemente con entidades externas, desde otros vehículos hasta la infraestructura de la ciudad inteligente y la nube. Si no se protege, los atacantes podrían comprometer los sistemas electrónicos del vehículo. Las medidas de seguridad sólidas son esenciales para prevenir ataques y proteger el vehículo, sus sistemas y las redes de back-end que les sirven de los ciberataques.
Los esfuerzos para crear un estándar de ciberseguridad automotriz comenzaron en 2016, cuando la Sociedad de Ingeniería Automotriz (SAE) y la Organización Internacional de Normalización (ISO) se embarcaron en una iniciativa conjunta para crear un estándar de la industria para la ciberseguridad de vehículos. Ambas organizaciones habían trabajado por separado en la seguridad automotriz y los estándares relacionados con la protección: ISO 26262 es el reconocido estándar de seguridad funcional automotriz, y SAE aprovechó el marco de ISO 26262 al crear J3061, la "Guía de ciberseguridad para sistemas ciberfísicos".
Las dos organizaciones finalmente unieron fuerzas y colaboraron con fabricantes de automóviles, proveedores de componentes y sistemas y proveedores de ciberseguridad, lo que involucró a más de 100 expertos de más de 82 empresas en 16 países. La nueva norma ISO / SAE 21434 es el resultado de esta colaboración. Define los requisitos organizativos y de procedimiento precisos para lograr una ciberseguridad robusta de los vehículos. También se detallan en el estándar los pasos necesarios para realizar análisis de amenazas y evaluación de riesgos de posibles ciberamenazas a lo largo del ciclo de vida del vehículo. Además, las organizaciones necesitan monitorear los eventos de ciberseguridad y administrar los incidentes cuando ocurren.
Además, a partir de julio de 2022, los fabricantes de vehículos (OEM automotrices) deben cumplir con la nueva regulación de ciberseguridad automotriz UN R155 para lanzamientos de nuevos tipos de vehículos en Europa, Japón y Corea, lo que representa más de un tercio de la producción mundial de vehículos. Se espera que le sigan otras regiones.
UN R155 es un paso más hacia la mejora de la ciberseguridad. El reglamento fue adoptado en 2020 por la Comisión Económica de las Naciones Unidas para Europa (UNECE) WP.29, también conocido como Foro Mundial para la Armonización de Regulaciones de Vehículos. Bajo UN R155, los fabricantes de vehículos pueden obtener la aprobación del tipo de vehículo y vender nuevos tipos de vehículos solo si tienen un CSMS certificado.
El estándar ISO / SAE 21434 respalda la implementación de los requisitos R155 en organizaciones a lo largo de la cadena de suministro. NXP es la primera Semiconductores proveedor debe ser certificado por TÜV SÜD para cumplir con ISO / SAE 21434. Esto ayuda a los fabricantes de equipos originales a cumplir con los requisitos de la regulación R155.
Es importante enfatizar que el estándar no significa que los fabricantes de equipos originales deban desarmar los sistemas existentes y eliminar los componentes heredados a voluntad. Deben analizar los sistemas automotrices y determinar si sus componentes cumplen con los criterios de seguridad relevantes. Este análisis resultará más fácil para los componentes nuevos y compatibles. Los componentes estándar existentes requerirán una evaluación adicional en cuanto a su idoneidad y para identificar y abordar cualquier posible deficiencia de seguridad. Teniendo en cuenta la gran cantidad de componentes electrónicos utilizados en un automóvil nuevo de proveedores de Nivel 1 y Nivel 2, la responsabilidad será compartida, y las implicaciones abarcarán toda la cadena de suministro.
Los futuros productos automotrices deben cumplir con el estándar y los fabricantes deben proporcionar evidencia de respaldo. NXP y otros proveedores deben trabajar en estrecha colaboración con los clientes de nivel 1 y OEM y ayudarlos a realizar sus evaluaciones de riesgo y validación de cumplimiento.
En el futuro, los consumidores y los fabricantes de automóviles se beneficiarán de la implementación de las normas y del cumplimiento de las regulaciones. Los consumidores pueden disfrutar de una experiencia consistente y fluida. la tecnología que mejora la seguridad y la experiencia del usuario con una sólida protección contra ciberataques y amenazas en evolución.
acerca de NXP Semiconductors