Como ya adelantamos en este blog, la llegada de los vehículos autónomos a las carreteras españolas está cada vez más cerca. Y con ellos, también se presentan numerosos retos jurídicos, éticos y, lo que en esta entrada nos interesa, cibernéticos.
No sólo será necesario resolver los complejos problemas organizativos, técnicos y tecnológicos que nacen de la conducción autónoma, sino que también es crucial asegurar una implantación segura de la Inteligencia Artificial (en adelante, IA) en lo que respecta a los riesgos de ciberseguridad.
Como comentamos en este mismo blog, los vehículos inteligentes afrontan una variedad de peligros tales como el acceso a los datos personales de los viajeros, el robo de automóviles sin un sistema de entrada llave, la toma del control del sistema de abordo, o incluso la alteración del clasificador de imágenes basado en IA incorporado al vehículo (por ejemplo, que se interprete una señal de stop como una señal de límite de velocidad y se produzca así una reacción errónea como la reducción de la velocidad en lugar de la detención del vehículo).
Las instituciones europeas reconocen la urgencia de abordar esta materia, razón por la cual ENISA ha publicado un informe donde analiza los principales riesgos de ciberseguridad relacionados con la IA en los vehículos autónomos y ofrece una serie de recomendaciones para mitigarlos.
1. Validación sistemática de la seguridad de los datos y modelos de la IA
- Será necesario definir la gobernanza de los datos en atención a aquellos que se utilizan en la conducción autónoma para entender, entre otras cosas, la titularidad, la autorización al acceso y la utilización de los datos. A su vez, se debe sistematizar el proceso de las evaluaciones y pruebas de robustez y seguridad dado que los modelos de IA varían a lo largo del tiempo, con el fin de evitar posibles vulnerabilidades en las eventuales modificaciones y que se garantice la calidad y fiabilidad de los sistemas de conducción autónoma.
- Enisa recomienda (i) establecer procesos de monitorización y mantenimiento de los modelos de IA, tanto activos como proactivos, (ii) realizar evaluaciones de riesgo considerando específicamente los componentes de la IA a lo largo de su ciclo de vida, (iii) adoptar mecanismos de resiliencia elaborando planes de acción y respuesta ante incidentes, (v) establecer procesos de auditoría, monitorización y testeo de las operaciones del vehículo y los incidentes, y finalmente (vi) introducir sistemas de validación adicionales para verificar continuamente los datos.
2. Retos de la cadena de suministro relacionados con la ciberseguridad de la IA
- La cadena de suministro es de vital importancia para la ciberseguridad, por ello será crucial establecer un blindaje adecuado para evitar posibles ataques o brechas de seguridad. Dichos procesos de seguridad deberán ser flexibles y dinámicos para poder adaptarse a cada detalle de la IA y a sus futuros cambios.
- Entre las recomendaciones destacan: (i) establecer una política de seguridad de la IA a través de la cadena de suministro incluyendo a terceros, (ii) garantizar una gobernanza de la política de seguridad de la misma cadena, (iii) desarrollar una cultura de seguridad en IA que ampare a los interesados y una identificación y supervisión de los potenciales riesgos relacionados con IA en conducción autónoma y, (iv) solicitar el cumplimiento de la normativa por parte del sector de la automoción en toda la cadena de suministro.
3. Integrar la ciberseguridad de la IA con los principios tradicionales de ciberseguridad con un enfoque holístico de extremo a extremo
- Dado que los sistemas cambian con el paso del tiempo, es importante que tanto las funcionalidades del software como las diferentes medidas de ciberseguridad se adapten constantemente. Asimismo, resulta relevante establecer una relación entre los componentes del vehículo autónomo y la IA, en particular, estableciendo criterios de la ciberseguridad tradicional.
- Enisa propone, entre otras recomendaciones, (i) garantizar la gobernanza adecuada de la política de ciberseguridad, (ii) crear una cultura de ciberseguridad a través del ecosistema de la automoción y, (iii) promocionar de patrones de seguridad en los diseños e implementación de los componentes de la IA junto con la adecuada promoción de proyectos de investigación de conducción autónoma, creando sistemas de prevención de interferencias en los sensores del vehículo, los cuáles serán cruciales para obtener un sistema de seguridad transversal basado en principios tradicionales de la ciberseguridad, etc.
4. Gestión de incidentes y descubrimiento de vulnerabilidades relacionadas con la IA y lecciones aprendidas
- Dado el incremento de componentes digitales en los vehículos de hoy en día, será esencial establecer una clara diferencia entre aquellos sistemas que responden a la IA y los que no, para así poder aislar las potenciales vulnerabilidades relacionadas estrictamente con las decisiones tomadas por la IA.
- ENISA propone recomendaciones tales como: (i) adaptar un plan de respuesta donde se incluyan las particularidades de la IA, (ii) promocionar una cultura de aprendizaje de los errores de la tecnología, que se perfile caso por caso a través de las diferentes incidencias y soluciones que deberán ser desarrolladas, (iii) organizar simulacros de desastre con altos directivos de las empresas de automoción para comprender el impacto que podría llegar a tener en el caso de descubrir una vulnerabilidad, (iv) establecer el uso de unos estándares obligatorios para reportar incidentes de seguridad en IA y, (v) desarrollar simulaciones de incidentes para crear conciencia y conocimiento en el sector.
5. Capacidad y conocimientos limitados sobre ciberseguridad de la IA en el sector del automóvil
- Uno de los principales desafíos que plantea este tipo de seguridad es la falta de conocimiento y de madurez del sector. A parte de la promoción de la necesidad de protocolos de ciberseguridad por parte de los desarrolladores, será importante que todos los que participen de alguna manera en esta industria sean conscientes de los potenciales riesgos y de cómo prevenirlos.
- Enisa plantea: (i) incluir particularidades de la ciberseguridad de las IAs en todas las políticas de organización o empresa, (ii) crear divisiones de expertos en ciberseguridad en los diferentes campos que apliquen a la producción y supervisión de los vehículos, (iii) incluir a mentores que asistan en la adaptación de estos protocolos de ciberseguridad en la organización, (iv) crear programas de educación y práctica de seguridad, centrados en los sistemas de ciberseguridad de la IA aplicada a través del ecosistema automovilístico.
La última tecnología y los avances del sector de la automoción dibujan un horizonte dónde la conducción autónoma dejará de ser ciencia ficción para convertirse en nuestra realidad cotidiana. No obstante, con anterioridad a la implementación plena de estos vehículos será necesario configurar el marco regulatorio e implementar las medidas de seguridad técnicas adecuadas para garantizar una conducción fiable, segura, legal y ética. Desde este blog seguiremos muy de cerca los avances en esta materia.
Ainhoa Rey, Josu Andoni Eguiluz y Octavi Oliu
