El automóvil moderno es un dispositivo complejo y conectado. Aunque it ofrece más posibles servicios y funciones, es también está expuesto a numerosas vulnerabilidades de ciberseguridad.
Marco normativo y directrices
SAE J3061: Guía de ciberseguridad para sistemas ciberfísicos de vehículos - un marco para diseñar y evaluar medidas de ciberseguridad en el proceso de desarrollo. Introduce conceptos como el ciclo de vida de la ciberseguridad (CSL) y recomienda prácticas para la evaluación de riesgos, el análisis de amenazas y la respuesta a incidentes.
ISO/SAE 21434: Vehículos de carretera - Ingeniería de ciberseguridad - especifica los requisitos para la gestión de riesgos de ciberseguridad. Incluye el diseño y el desarrollo, la producción, el funcionamiento, el mantenimiento y el desmantelamiento de los sistemas eléctricos y electrónicos de los vehículos. Esto incluye la transmisión de los requisitos de ciberseguridad a lo largo de la cadena de suministro de la automoción a los proveedores de nivel 1 e inferiores.
Mejores prácticas de ciberseguridad de la NHTSA: La Administración Nacional de Seguridad del Tráfico en Carretera (NHTSA) publicó las mejores prácticas para mejorar la ciberseguridad de los vehículos de motor. Las recomendaciones abordan diversos aspectos de la ciberseguridad, como la seguridad mediante el diseño, la detección y prevención de amenazas, la respuesta a incidentes y la colaboración del sector.
CEPE WP.29: Es una norma principalmente europea, pero su cumplimiento es obligatorio para vender vehículos en la Unión Europea. Las principales normativas de R155 y R156 tratan de la creación de un Sistema de Gestión de la Ciberseguridad (CSMS) y un Sistema de Gestión de la Actualización de Software (SUMS) respectivamente.
Descifrar la PKI en la industria del automóvil
Los marcos enumerados anteriormente no mencionan específicamente la PKI. Sin embargo, la PKI es fundamental para documentar el cumplimiento de las mejores prácticas por parte de una empresa.
La PKI consiste en el uso de claves privadas y públicas para proteger las comunicaciones. En el contexto de la automoción, facilita el intercambio seguro de información entre distintos ámbitos:
Comunicación vehículo a todo (V2X): Incluye las comunicaciones de vehículo a vehículo (V2V), de vehículo a infraestructura (V2I), de vehículo a peatón (V2P), de vehículo a hogar (V2H), etc. V2X es esencial para compartir información vital sobre el funcionamiento de los vehículos y el estado de las carreteras. Al aprovechar la PKI, los dispositivos pueden garantizar la autenticidad y fiabilidad de los datos intercambiados, mejorando la seguridad.
Comunicación Plug and Charge (PnC): La tecnología PnC se salta la tarjeta de crédito mediante pagos automatizados y sin fisuras. La infraestructura de clave pública (PKI) desempeña un papel crucial en este ecosistema, ya que garantiza la seguridad de las comunicaciones y transacciones entre vehículos, estaciones de recarga y sistemas backend (ISO 15118).
Comunicación vehículo-nube (V2C): V2C se utiliza cuando es necesario compartir datos en el tiempo y el espacio, como en zonas remotas. La PKI garantiza que los datos intercambiados entre los vehículos y los sistemas backend sean seguros y mantengan la integridad y la confidencialidad.
Actualizaciones seguras vía satélite (OTA): Crítica para las actualizaciones remotas de vehículos, la OTA utiliza PKI para autenticar las fuentes de datos y garantizar que la actualización sea segura y a prueba de manipulaciones.
Arranque seguro: El arranque seguro, fundamental para evitar los ataques de encendido, garantiza que la versión software del vehículo es la más reciente y no ha sido comprometida.
Informática postcuántica (PQC): Los algoritmos resistentes a la cuántica se acercan rápidamente. La industria del automóvil tendrá que actualizar la criptografía de los vehículos existentes, por lo que la criptoagilidad es necesaria para prepararse para el futuro.
Retos y soluciones en la implantación de PKI
La integración de PKI en los sistemas de automoción tiene sus retos. Cuestiones como la escalabilidad, la gestión del ciclo de vida de la identidad digital y la diversidad del ecosistema automovilístico plantean importantes obstáculos. Sin embargo, el sector está avanzando:
Colaboraciones y asociaciones: Fabricantes de automóviles, proveedores de tecnología y expertos en ciberseguridad unen sus fuerzas para crear soluciones PKI escalables y seguras adaptadas al sector de la automoción.
Normas y protocolos abiertos: Son cruciales para que las prácticas de ciberseguridad sean coherentes en las distintas marcas y modelos de vehículos.
Gestión del ciclo de vida: Los gestores del ciclo de vida de los certificados dirigidos a los casos de uso de IoT facilitan la gestión remota de los certificados PKI y las cadenas de confianza. Esto garantiza una seguridad dinámica y robusta del vehículo a lo largo de su vida útil de 10 a 20 años, lo que es fundamental para la agilidad post-cuántica.
El camino a seguir
A medida que se desdibujan las líneas que separan las industrias tecnológica y automovilística, el papel de la ciberseguridad se hace más crítico. La PKI ofrece un marco sólido para proteger esta nueva era de movilidad digital. Al comprender y abordar las complejidades de la PKI, la industria de la automoción puede afrontar los retos de esta transformación digital con eficacia.
El camino hacia un futuro automovilístico seguro es complejo, pero alcanzable mediante la innovación, la normalización y la colaboración continuas. Tanto para los fabricantes de automóviles como para los consumidores, esto allana el camino hacia un futuro en el que la conducción conectada sea tan segura como transformadora.
Para obtener más información sobre la emisión y gestión de identidades digitales seguras para IoT y Enterprise, póngase en contacto con nosotros en [email protected].