O meu carro pode ser hackeado? A segurança cibernética afeta também os carros conectados

O avanço em direção a veículos cada vez mais conectados representou uma revolução na interação entre usuários e seus meios de transporte. Esta inovação, além de melhorar a experiência de direção mediante a incorporação de serviços avançados, também contribuiu para aumentar a eficiência e a segurança na mobilidade.

No entanto, este progresso rumo a uma conectividade total entre os veículos está despertando certa preocupação pela cibersegurança. O meu carro pode ser hackeado? Que consequências teria em matéria de segurança? A conectividade os torna mais suscetíveis a um leque mais amplo de ameaças cibernéticas, o que representa um desafio tanto para fabricantes, como motoristas, entidades reguladoras e, inclusive, um possível problema para os próprios usuários em caso de hackeamento.

O que entendemos exatamente por um carro conectado? Trata-se de veículos que se comunicam com capacidade para trocar informação com o ambiente, convertidos praticamente em centros de dados móveis. São, definitivamente, computadores com rodas capazes de receber atualizações de software de maneira remota que impactam na direção, de uma forma ou de outra (por exemplo, na navegação, nos sistemas de segurança, etc.).

Apesar de suas inegáveis vantagens, a conectividade neste tipo de veículos abre a porta para eventuais ciberataques. Em que podem consistir? O acesso remoto indesejado poderia concluir a partir de uma exposição de dados pessoais até comprometer a segurança física dos ocupantes se o sistema for hackeado de forma mal-intencionada. Incidentes como o hackeamento demonstrativo a um Jeep Cherokee em 2015 manifestam a realidade destas ameaças e a necessidade de adotar medidas de proteção.

Um dos maiores temores de um ciberataque em um carro está centrado no acesso remoto: os hackers podem acessar o sistema de várias formas, como explorando vulnerabilidades no software do veículo, empregando técnicas de phishing dirigidas aos seus proprietários, ou mediante a interceptação direta da comunicação entre o carro e a rede. O que pode acontecer se hackeam o nosso carro? As consequências podem ser de diversos tipos. No “melhor” dos casos, os ciberatacantes poderiam filtrar os dados pessoais do motorista; no pior, poderiam realizar um controle remoto dos sistemas do veículo provocando um potencial acidente, como o caso do Jeep antes indicado.

Diante destas novas ameaças, foram estabelecidos marcos normativos e regulamentos internacionais destinados a reforçar a cibersegurança dos veículos conectados. Neste sentido, normativas como a ISO/SAE 21434, os regulamentos 155 e 156 do Fórum Mundial para a Harmonização da Regulamentação dos Veículos (WP.29) da UNECE, ou o procedimento SERMI (‘Forum for Access to Security-Related Vehicle Repair and Maintenance Information’, em seu nome completo) são determinantes, já que proporcionam diretrizes para a gestão de riscos e impõem aos fabricantes a obrigação de atualizar continuamente seus sistemas de segurança.

A norma ISO/SAE 21434, resultado da colaboração entre a International Organization for Standardization (ISO) e a Society of Automotive Engineers (SAE), estabelece um quadro exaustivo para abordar a cibersegurança em todo o ciclo de vida dos carros conectados. Esta norma coloca a ênfase na identificação e gestão de riscos, na implementação de medidas de segurança e na resposta ágil diante de incidentes de cibersegurança. Este enfoque integral garante que a cibersegurança seja considerada como primordial no desenvolvimento e manutenção dos veículos, isto é, durante todo o seu ciclo de vida.

Complementando esta iniciativa, os regulamentos R155 e R156 estabelecem requisitos específicos para os sistemas de gestão de segurança cibernética e a gestão de atualizações de software. Enquanto o R155 está centrado na proteção dos veículos contra ciberataques e na gestão eficiente de incidentes, o R156 garante que as atualizações de software sejam realizadas de forma segura, sem introduzir vulnerabilidades adicionais. Por outro lado, o procedimento SERMI – somente de cumprimento obrigatório na União Europeia – proporciona um mecanismo para garantir que a informação de reparação e manutenção seja acessível de forma segura, permitindo que as oficinas autorizadas (concessionárias multimarca e independentes) realizem reparos sem comprometer a integridade do veículo.

Com a publicação da norma ISO/SAE 21434 em agosto de 2021, espera-se que tanto estes como os fornecedores comecem a adotar suas diretrizes de forma progressiva. Esta normativa pede que avaliem riscos, implementem um sistema de gestão da cibersegurança e desenvolvam procedimentos para responder a incidentes e vulnerabilidades. Este enfoque integral garante que a segurança não se limite à fase de design ou produção, mas que se mantenha como um processo contínuo ao longo de toda a existência do veículo.

Por sua vez, os regulamentos R155 e R156 da UNECE introduzem requisitos para que os fabricantes implementem sistemas de gestão de cibersegurança e gerenciem as atualizações de software de maneira segura, respectivamente. Os fabricantes, para a comercialização na U.E., deveriam cumprir com este regulamento desde janeiro de 2022 para novas homologações, enquanto a obrigação será estendida a todos os carros novos a partir de 1º de julho de 2024. Em relação ao procedimento SERMI, é aplicado na Espanha desde abril de 2024, quando foram credenciadas entidades a nível nacional para avaliar os operadores independentes e garantir o acesso seguro às informações de reparação e manutenção.

Os fabricantes de veículos são conscientes desta nova realidade e desenvolveram medidas de segurança de vanguarda, como a ativação de sistemas de detecção de intrusões, ou a criptografia de dados e proteções contra a eventual manipulação do software do veículo. Assim, por exemplo, os veículos equipados com sistemas de detecção facial permitem o acesso sem chave ao reconhecer o rosto do motorista ou ocupantes autorizados. Quando uma pessoa se aproxima do veículo, uma câmera situada no exterior captura sua imagem e a compara com uma base de dados de rostos autorizados armazenada no sistema do veículo. Se houver uma coincidência, as portas são desbloqueadas automaticamente.

Entre essas novas iniciativas, destacam-se a adoção de sistemas de detecção de intrusões, a aplicação de protocolos de criptografia de dados e o desenvolvimento de sistemas seguros de gestão de atualizações de software. Os sistemas de detecção de intrusões vigiam constantemente a rede do veículo em busca de atividades suspeitas, permitindo uma resposta rápida diante de possíveis ataques. A criptografia de dados garante que a informação pessoal e de funcionamento do veículo permaneça protegida, enquanto a gestão segura das atualizações de software garante que as melhorias e correções sejam implementadas sem introduzir novas vulnerabilidades.

Por outro lado, os fabricantes estão colaborando com parceiros tecnológicos e participando em plataformas e consórcios de intercâmbio de informação sobre ameaças cibernéticas, como o Automotive Information Sharing and Analysis Center (Auto-ISAC). Estas colaborações permitem compartilhar e receber informação sobre as últimas ameaças e vulnerabilidades, de forma que se possa dar uma resposta conjunta aos ciberataques.

Os proprietários de carros conectados podem desempenhar um papel fundamental na cibersegurança de seus veículos com simples medidas, como manter atualizado o software do veículo, utilizar conexões Wi-Fi e Bluetooth com precaução, não armazenar informação pessoal desnecessária no sistema do veículo, e estar alerta diante do phishing.

Em caso de suspeita que seu veículo tenha sido comprometido, é muito importante entrar em contato imediatamente com o fabricante ou a concessionária para informar sobre qualquer comportamento anômalo e buscar assessoria. Temporariamente, pode ser conveniente desativar as funcionalidades conectadas do veículo, alterar as senhas das contas associadas a ele e revisar estas contas em busca de atividade incomum.

O Centro de P+D da MAPFRE, CESVIMAP, oferece recursos e conclusões sobre pesquisas realizadas em matéria de segurança cibernética nos carros. Seu foco em identificar vulnerabilidades e formular estratégias de defesa é de grande ajuda para avançar em direção a veículos mais seguros, e isto abrange também a cibersegurança nos carros conectados.

"Os carros conectados e com controle elétrico da direção, freios e motor, bem como os carregadores elétricos, podem ser hackeados de forma relativamente simples. O setor automotivo está fazendo seu esforço para limitar e controlar as vulnerabilidades e, a partir do CESVIMAP, acompanhamos e assessoramos em todo o seu caminho ", comenta Enrique Zapico Alonso, diretor do Mobility Lab da MAPFRE na CESVIMAP.

Em resumo, a cibersegurança nos carros conectados continua evoluindo à medida que aumentam as ameaças. As sinergias entre os diferentes players do mercado, diante de estratégias de defesa, são fundamentais. Assumindo estes desafios em conjunto, é possível garantir que o avanço rumo a uma mobilidade inteligente e conectada seja, ao mesmo tempo, seguro para todos.

ARTIGOS RELACIONADOS: