A partir del proper 6 de juliol ja no es podran vendre cotxes nous que no compleixin les normes UNECE R155 i R156. Però a veure quines són aquestes normes i si els Reis podran portar-me el V10 que els he demanat... o no.

La norma R155 forma part d'un paquet legislatiu impulsat per l'ONU i està dissenyada per protegir els vehicles contra un possible ciberatac, i garanteix una gestió eficient dels incidents i vulnerabilitats que puguin sorgir fins al final de la vida útil del vehicle. És a dir, no deixarem de rebre actualitzacions de programari, encara que passin 2 o 3 anys i ja hi hagi una nova versió del nostre model, com està passant actualment.

D’altra banda, l'R156 estableix els requisits per garantir que aquestes actualitzacions de programari o firmware es realitzen de manera segura, és a dir, que no hi pugui haver un cibercriminal capturant aquell paquet de programari per modificar-lo abans que arribi al nostre cotxe, que el codi de programari sigui segur i degudament auditat i que, evidentment, la nova actualització no inclogui nous riscos o vulnerabilitats.

Sí, sí, sí, tot això està molt bé... però què passa amb aquell V10 de 560 CV del 2015 que he demanat als Reis en previsió que enguany serà boníssim?

Les normes només apliquen a vehicles l'homologació dels quals hagi estat posterior al juliol del 2022 i als models que es fabriquin després del 6 de juliol del 2024. A GMV hem estat treballant en aquesta línia amb un conegut fabricant d'autobusos que ha aprovat quatre nous models i sobre els quals hem hagut de fer diferents activitats com una anàlisi detallada de riscos (TARA) i un pentest molt específic per comprovar que els riscos identificats a la TARA es tractaven correctament... Vaja, que un cibercriminal no podia pujar a la parada de plaça de Castilla de Madrid, seure a l’última fila amb la dessuadora amb caputxa i fer una denegació de servei a tot l'autobús que ens fes arribar tard a l'oficina o engegar la calefacció perquè suéssim com pollastres.

És a dir, puc demanar als Reis aquell V10 matriculat el 2015... tot i que segurament la normativa ambiental de la meva ciutat no em deixin moure’l.

No tots els països han acceptat el caràcter obligatori d'aquestes normes, ja que, per exemple, Japó i Corea del Sud les han adoptat sense problemes més enllà dels països europeus, però els Estats Units estan més alineats amb les directrius i normes desenvolupades per organismes nacionals i internacionals, com l’ISO/SAE 21434. Al final, l’ISO/SAE 21434 ens proporciona un marc detallat per a la gestió de la ciberseguretat als vehicles en el seu cicle de vida, des del disseny i desenvolupament fins a la posada en producció, el manteniment i el desmuntatge quan finalitza la seva vida útil.

La veritat és que és un estàndard molt interessant, tot i que a diferència de les seves cosines germanes R155 i R156, no és obligatori en si mateix, sinó que és un estàndard internacional voluntari desenvolupat per l'Organització Internacional per a la Normalització (ISO) i la Societat d'Enginyers d'Automoció (SAE). Tanmateix, la seva adopció pot ser obligatòria o necessària indirectament a través de normatives (si, per exemple, els vehicles s'exporten a Europa), requisits del mercat o contractes específics en la indústria de l'automòbil.

A més de tot això, cal destacar que GMV ha estat pionera en la formació en totes aquestes normes i regulacions i actualment disposem d’un potent equip capaç d'ajudar els fabricants durant tot el procés de validació de nous vehicles, des de revisar la TARA proporcionada pel fabricant fins a la realització de totes les proves d'intrusió necessàries per validar riscos identificats i, en molts casos, trobar noves vulnerabilitats no identificades prèviament pel fabricant. Aquesta és la part més divertida.

No cal dir que el V10 de 2015 que hem esmentat abans pateix un munt de vulnerabilitats pròpies de la xarxa intravehicular a les quals mai s’han posat pegats... però com que el 2015 els vehicles no estaven connectats al món exterior, la mesura de protecció més eficaç que podem aplicar és no deixar les claus a ningú.

Autor: Carlos Sahuquillo