¿En qué aspectos se están concentrando los esfuerzos para avanzar hacia un modelo más eficiente y seguro de movilidad inteligente y sostenible?
Desde el punto de vista de la ciberseguridad, cualquier innovación enfocada en que la movilidad sea más inteligente y más sostenible incluye más sensórica, más datos y más conectividad. Esos datos, probablemente, se vayan a tratar con tecnologías como la Inteligencia Artificial para lograr el objetivo buscado. Todo esto implica mayores riesgos y transforma absolutamente la ciberseguridad asociada a la movilidad actual, que no tiene nada que ver con la de hace diez años. Las nuevas innovaciones introducen nuevos riesgos, que hay que saber gestionarlos de manera correcta. Ahora estamos hablando de vehículos conectados y autónomos, de la comunicación entre vehículos e infraestructuras, de vehículo a vehículo, de vehículo a dispositivos inteligentes o de vehículos con apps. Debemos estar seguros de que nuestros datos están protegidos y no los han hackeado porque si fuera así, las decisiones que tomaríamos podrían ser totalmente desastrosas. Esto lógicamente nos exige unos escenarios de protección mucho más complejos y completos.
¿De qué manera se traduce esa investigación en mejoras reales en la vida de las personas?
Si pensamos en coches conectados o autónomos la usabilidad es clara, puesto que el transporte será más eficiente, cómodo y práctico. Pero es que además, esto nos llevará a mejorar la infraestructura vial y, por tanto, la propia ciudad, que responderá mucho mejor a las necesidades reales de los usuarios y usuarias. La incorporación de toda esta innovación se traducirá en un transporte que se adapte mejor a lo que precisa la ciudadanía.
La movilidad conectada amplía la superficie de riesgo. ¿Dónde se concentran las principales vulnerabilidades y cómo se están afrontando desde la investigación y la innovación?
Al introducir inteligencia, sostenibilidad, eficiencia, autonomía o vehículos eléctricos a la movilidad, cambia automáticamente la concepción que teníamos del sector. Hace 15 años un coche era un elemento mecánico sobre cuatro ruedas y ahora tenemos vehículos que disponen de entre 150 y 200 millones de líneas de código, mucho más aún si son autónomos. Por tanto, ya tienen más 'software' que mecánica. Además, estos vehículos van asociados a una 'app', desde donde podemos abrir y cerrar el coche, controlarlo, gestionarlo, pedir cita con el taller. Incluso la app avisa de si ya va siendo hora de pasar una revisión y puede pedir cita por sí misma. El coche puede estar conectado también con otro vehículo o con las infraestructuras, con las carreteras para saber si hay un accidente, si se debe modificar la ruta para llegar al destino de una manera más rápida y segura. Todo ello ha llevado a que la superficie de riesgo en materia de ciberseguridad se haya multiplicado, haya crecido de manera exponencial. Las vulnerabilidades son mucho mayores porque tenemos más elementos conectados y digitales, por lo que debemos tener ese vehículo monitorizado continuamente. A nivel de investigación e innovación debemos trabajar para ser capaces de conocer de manera concreta todo este ecosistema tan amplio para garantizar su seguridad.
En los últimos meses hemos visto que grandes infraestructuras, como aeropuertos, se han visto afectadas por ciberincidentes. ¿Podría ocurrir algo parecido en el ámbito del transporte terrestre o en nuestras carreteras inteligentes?
Por supuesto. Una vez que conectamos algo a Internet o que adoptamos algún elemento de una interfaz o punto de conexión estamos introduciendo el riesgo de que sea hackeado o modificado. Al tener el ecosistema de movilidad conectado a tantos elementos estos se pueden hackear, lo que puede producir un fallo en la infraestructura o en el propio vehículo. Lo último que queremos es ir por la A8 a 120 kilómetros por hora y que alguien se conecte a nuestro vehículo y nos haga perder el control, poniéndolo a 200 kilómetros por hora o logrando que frene de repente. Ese riesgo existe. Recientemente hemos visto cómo el avión de Ursula Von der Leyen (presidenta de la Comisión Europea) sufría interferencias rusas en el GPS. Todo esto se sabe que puede pasar y, por tanto, ese avión usó otro sistema para aterrizar de manera segura. Desde el punto de vista de la ciberseguridad debemos ser conscientes de estos puntos vulnerables y poner en marcha medidas compensatorias, tener un plan B y C para retomar el control de los sistemas. En sistemas muy críticos hay que tener dos o tres opciones para responder a un hackeo.
“ ”
Se habla cada vez más de reforzar la seguridad no solo en las infraestructuras, sino también en los propios vehículos. ¿Estamos ante un escenario en el que los coches necesitarán ‘antivirus’ o sistemas de protección integrados?
Sí, y hoy es algo mucho más complejo que un antivirus. En el propio diseño de esos vehículos conectados debe estar incorporada la ciberseguridad con sistemas de protección integrados. De esto también son conscientes las autoridades, puesto que un cliente compra un coche y presupone que es seguro, que la autoridad europea va a obligar al fabricante a incorporar esas medidas de ciberseguridad. Estamos hablando de elementos críticos que pueden afectar a la seguridad de las personas. Precisamente en el caso del automóvil ya tenemos la normativa UNECE R155 y R156, que obliga desde junio del año pasado a que cualquier vehículo eléctrico conectado en Europa deba pasar un certificado de ciberseguridad para que sea matriculado. De esta manera se certifica que en el diseño de ese vehículo, desde el minuto cero y hasta que se convierte en chatarra, se ha tenido en cuenta la ciberseguridad y se han implantado las medidas adecuadas. Todos los fabricantes saben ya que esto es un punto crítico.
“ ”
Desde ZIUR insisten en la importancia de diseñar sistemas seguros desde el inicio. ¿Por qué es clave incorporar la ciberseguridad desde la fase de diseño y no como un añadido posterior?
Hoy en día ya tenemos claro que cuando diseñamos un producto o servicio este debe ser ciberseguro, porque ya hemos sufrido las consecuencias de no hacerlo. Por tanto, cuando pensamos en un producto, en su diseño, arquitectura y funcionalidad la ciberseguridad debe estar desde el inicio. Si no se hace así, desde el principio, incorporar la ciberseguridad es mucho más costoso y menos eficiente. Es poner parches. Y cuando hablamos de movilidad hay una normativa que ya nos lo exige.
Penilla durante su intervención en el foro 'Biharko ingurunea' organizado por NOTICIAS DE GIPUZKOA.
La movilidad genera cada vez más datos y depende más del intercambio digital. ¿Cómo podemos equilibrar la innovación tecnológica con la protección de la privacidad y la confianza de la ciudadanía?
Cuando hablamos de ciberseguridad la premisa siempre es ir hacia el uso mínimo, es decir, utilizar solamente los datos que sean realmente necesarios. Si no se va a usar, no se almacena, no se guarda, no se transfiere, porque se añade un riesgo innecesario. Cuando hablamos de 'Zero Trust' partimos de una confianza cero para desde ahí ir verificando, ir añadiendo permisos. Lo mismo ocurre con las interfaces o sensores: si no vamos a usarlos no los añadimos, porque su presencia es automáticamente un riesgo. La conectividad puede ser aprovechada por los hackers. Con los datos críticos personales, exactamente lo mismo: si no voy a hacer uso de ellos, no se almacenan, no se intercambian y si hay que hacerlo, se deben usar sistemas de cifrado para proteger la información. En este sentido, ya contamos con normativas que nos obligan a gestionar de manera correcta los datos privados. Y aquí tenemos mucha innovación, incluso vamos hacia el cifrado cuántico para que la protección sea más eficiente.
Colaboración con el resto de agentes
Desde ZIUR trabajan en reforzar la ciberseguridad industrial de Gipuzkoa. ¿Qué papel juega el centro en el ecosistema de movilidad inteligente y cómo colabora con empresas o instituciones del territorio?
En ZIUR somos muy conscientes de que la automoción es un sector industrial muy potente en Gipuzkoa y, por ello, acompañamos a estas empresas con todos nuestros servicios. Las organizaciones pueden contar con nuestra ayuda en todo lo relacionado a la ciberseguridad. Desde ZIUR les resolveremos sus preguntas y dudas y les invitamos a que participen en nuestros proyectos, como el que tenemos junto a MUBIL. Se trata de un ‘framework’ de evaluación de ciberseguridad de producto, adaptado a la normativa UNECE R155 y 156 que afecta a la automoción. Nuestra intención es conocer cómo están nuestras empresas y la cadena de suministro respecto a esta normativa para que puedan dar pasos y mejoren su ciberseguridad.
“ ”
¿Qué tipo de proyectos o líneas de investigación está impulsando actualmente ZIUR para anticiparse a los nuevos riesgos de una movilidad cada vez más conectada?
Acabamos de poner en marcha el proyecto ‘Market Place’ junto a la Diputación Foral de Gipuzkoa. Se trata del primer programa de aceleración para el cumplimiento de la normativa europea en materia de ciberseguridad de productos industriales conectados. Una iniciativa, dotada con tres millones de euros, que tiene el objetivo de fortalecer la competitividad y la innovación del tejido empresarial del territorio. Queremos llegar al máximo número de empresas manufactureras de producto, también del sector de la automoción y de la movilidad conectada; queremos ayudarles a evaluar su producto y a conocer bien las normativas de ciberseguridad que les afectan.