Segurança ao volante – A era digital e o estado da cibersegurança no setor automóvel
Por Emanuel Soares, Cyber Security Lead Engineer da Critical Software
Os veículos atualmente são muito mais do que simples meios de transporte que nos levam do ponto A ao ponto B. Estão cada vez mais modernos, mais tecnológicos e o setor da automóvel já anda de braço dado com o setor tech. Face a este salto tecnológico, a cibersegurança é hoje, mais do que nunca, uma área de vital importância no setor automóvel. Isto porque a crescente conectividade e a melhoria da experiência proporcionada aos utilizadores – condutores e passageiros – contribui para uma melhor experiência de condução/viagem, mas também para um aumento significativo da superfície de ataque.
Correndo o risco de parecer demasiado simplista, o exemplo mais banal de conectividade resume-se a uma simples ligação que é estabelecida entre um veículo e um servidor remoto (na cloud do fabricante), tal como um smartphone ou qualquer outro dispositivo conectado em casa. O sistema de telemática de um veículo trata-se de um bom exemplo de conectividade. Este sistema permite, entre outros, fornecer serviços de monitorização, diagnósticos e navegação inteligente.
Aquilo que outrora era puramente mecânico e que respondia simplesmente aos inputs que lhe eram dados, é hoje um ecossistema complexo, repleto de componentes críticos e não críticos que visam validar, medir, adaptar e atuar nos diferentes componentes de um veículo.
As pessoas estabelecem uma ligação com os veículos, tornando-os em locais onde se sentem praticamente em casa. Já os veículos, com toda a sua tecnologia, adaptam-se às pessoas, ao seu estilo de condução e a tudo o que os rodeia, conseguindo inclusivamente ter comportamentos preditivos que lhes permita, por exemplo, evitar um acidente.
A crescente conectividade e a inclusão de todas estas variáveis faz com que seja vital assegurar que todo o ecossistema de qualquer veículo está blindado e é ciberseguro. Neste sentido, surge a United Nations Regulation 155 (UN R155), uma regulação criada pelo Fórum Mundial para a Harmonização das Regulamentações aplicáveis a Veículos, e a ISO/SAE 21434, que é uma norma da indústria automóvel desenvolvida pela International Standard of Organization (ISO) em conjunto com a Society of Automotive Engineers (SAE).
A UN R155 estipula que os fabricantes de carros devem assegurar que os seus veículos e todos os sistemas que os compõem são criados e mantidos tendo a cibersegurança como um fator primordial em todo o processo. Neste sentido, a ISO/SAE 21434 surgiu com o objetivo de guiar a criação de um sistema de gestão de segurança que incorporasse a cibersegurança desde o início do processo (security by design) e de forma completa nas diferentes áreas da organização. Este standard é aplicável para software, ligações e componentes do veículo.
Ambas as frentes representam um esforço global e transversal que visa criar uma estratégia unificada para proteger os veículos contra ameaças cibernéticas. É imperativo refletir sobre estas questões e reconhecer a importância da adoção destas medidas uniformemente no setor automóvel, de forma a elevar a fasquia da segurança, qualidade e robustez dos veículos que circulam nas estradas.
Se tudo acontecer como planeado, a UN R155 tornar-se-á obrigatória, já a partir de julho de 2024, para todos os novos veículos produzidos (sendo que já era obrigatória para todos os novos modelos desde julho de 2022). Isto traduz-se num aumento do grau de exigência para com os fabricantes, elevando a fasquia da cibersegurança no setor. Desde o anúncio que, ao longo dos últimos meses, alguns fabricantes automóveis têm vindo a descontinuar a produção de determinados modelos devido aos desafios de compliance com a UN R155.
Ainda assim, é imperativo refletir sobre estas questões e reconhecer a importância da adoção destas medidas de forma transversal no setor automóvel, de forma a elevar a fasquia da segurança, qualidade e robustez dos veículos que circulam nas nossas estradas.