Por Emanuel Soares, Cyber Security Lead Engineer da Critical Software
Os veículos atualmente são muito mais do que simples meios de transporte que nos levam do ponto A ao ponto B. Estão cada vez mais modernos, mais tecnológicos e o setor da automóvel já anda de braço dado com o setor tech. Face a este salto tecnológico, a cibersegurança é hoje, mais do que nunca, uma área de vital importância no setor automóvel. Isto porque a crescente conectividade e a melhoria da experiência proporcionada aos utilizadores – condutores e passageiros – contribui para uma melhor experiência de condução/viagem, mas também para um aumento significativo da superfície de ataque.
Correndo o risco de parecer demasiado simplista, o exemplo mais banal de conectividade resume-se a uma simples ligação que é estabelecida entre um veículo e um servidor remoto (na cloud do fabricante), tal como um smartphone ou qualquer outro dispositivo conectado em casa. O sistema de telemática de um veículo trata-se de um bom exemplo de conectividade. Este sistema permite, entre outros, fornecer serviços de monitorização, diagnósticos e navegação inteligente.
Aquilo que outrora era puramente mecânico e que respondia simplesmente aos inputs que lhe eram dados, é hoje um ecossistema complexo, repleto de componentes críticos e não críticos que visam validar, medir, adaptar e atuar nos diferentes componentes de um veículo.
As pessoas estabelecem uma ligação com os veículos, tornando-os em locais onde se sentem praticamente em casa. Já os veículos, com toda a sua tecnologia, adaptam-se às pessoas, ao seu estilo de condução e a tudo o que os rodeia, conseguindo inclusivamente ter comportamentos preditivos que lhes permita, por exemplo, evitar um acidente.
A crescente conectividade e a inclusão de todas estas variáveis faz com que seja vital assegurar que todo o ecossistema de qualquer veículo está blindado e é ciberseguro. Neste sentido, surge a United Nations Regulation 155 (UN R155), uma regulação criada pelo Fórum Mundial para a Harmonização das Regulamentações aplicáveis a Veículos, e a ISO/SAE 21434, que é uma norma da indústria automóvel desenvolvida pela International Standard of Organization (ISO) em conjunto com a Society of Automotive Engineers (SAE).
A UN R155 estipula que os fabricantes de carros devem assegurar que os seus veículos e todos os sistemas que os compõem são criados e mantidos tendo a cibersegurança como um fator primordial em todo o processo. Neste sentido, a ISO/SAE 21434 surgiu com o objetivo de guiar a criação de um sistema de gestão de segurança que incorporasse a cibersegurança desde o início do processo (security by design) e de forma completa nas diferentes áreas da organização. Este standard é aplicável para software, ligações e componentes do veículo.
Ambas as frentes representam um esforço global e transversal que visa criar uma estratégia unificada para proteger os veículos contra ameaças cibernéticas. É imperativo refletir sobre estas questões e reconhecer a importância da adoção destas medidas uniformemente no setor automóvel, de forma a elevar a fasquia da segurança, qualidade e robustez dos veículos que circulam nas estradas.
Se tudo acontecer como planeado, a UN R155 tornar-se-á obrigatória, já a partir de julho de 2024, para todos os novos veículos produzidos (sendo que já era obrigatória para todos os novos modelos desde julho de 2022). Isto traduz-se num aumento do grau de exigência para com os fabricantes, elevando a fasquia da cibersegurança no setor. Desde o anúncio que, ao longo dos últimos meses, alguns fabricantes automóveis têm vindo a descontinuar a produção de determinados modelos devido aos desafios de compliance com a UN R155.
Ainda assim, é imperativo refletir sobre estas questões e reconhecer a importância da adoção destas medidas de forma transversal no setor automóvel, de forma a elevar a fasquia da segurança, qualidade e robustez dos veículos que circulam nas nossas estradas.