A transformação digital mudou completamente o setor automotivo e as soluções de mobilidade, conectando o sistema de transportes. Mas cada interface digital nesse ecossistema aumenta potencialmente a superfície de ataque cibernético, seja via sensores sem fio de pressão de pneus, pontos de acesso Wi-Fi e sistemas de telemática ou clusters de instrumentos que conectam informações de outros sistemas embarcados. Mesmo a infraestrutura de back-end de fabricantes e fornecedores – que permite a atualização remota dos softwares – está no centro dos riscos.
Segundo a consultoria Research and Markets, o mercado global de carros conectados deve alcançar US$ 166 bilhões até 2025, ante US$ 53,9 bilhões em 2020. E o mercado de segurança cibernética automotiva acompanha esse crescimento, com um valor estimado de US$ 2,3 bilhões em 2025.
A necessidade de uma melhor segurança cibernética em veículos nunca foi tão grande. As apostas são altas, pois um hacker pode roubar dados pessoais ou causar um acidente via manipulação remota dos sistemas do carro.
A cibersegurança ganhou, então, a atenção das empresas automotivas, desencadeando mudanças. Atender às exigências dos clientes, expectativas de qualidade, gerenciar riscos cibernéticos crescentes e buscar a conformidade com os regulamentos e atualizações de software requer uma reavaliação de práticas ao longo de toda a cadeia de valor do setor.
Segurança em todo o ciclo de vida
Os players automotivos devem considerar a cibersegurança durante todo o ciclo de vida do produto e não apenas no processo de venda do carro, porque novas vulnerabilidades podem surgir a qualquer momento. Essas vulnerabilidades podem gerar impacto direto nos carros e nos clientes, exigindo efetivamente que os OEMs (Original Equipment Manufacturer) ou, em português, Fabricante Original do Equipamento, forneçam patches de software relacionados à segurança para todo o ciclo de vida do carro.
É fundamental a implementação de um robusto CSMS (Cyber Security Management System – Sistema de Gerenciamento de Cibersegurança), que avalie desde o desenvolvimento de um veículo até o final do seu ciclo de vida. Esse processo vai servir como base para testes e certificações que assegurem que todas as etapas foram concluídas adequadamente, bem como que atendam as demandas legais aplicáveis ao país de comercialização e uso dos veículos.
Requisitos globais regulam cibersegurança
Por conta da ausência de uma legislação específica nacional e, também, da globalização das montadoras, o setor automotivo vem adotando as regras determinadas pelo Fórum Mundial para a Harmonização de Regulamentações Veiculares, da United Nations Economic Commission for Europe (UNECE), utilizadas por mais de 60 países, que têm como base a construção de modelos de verificação da adequação dos mecanismos de desenvolvimento de softwares específicos e sua certificação.
A UNECE liderou o movimento do modelo de regulamentação europeia UN R155, estabelecendo os requisitos de segurança para veículos com unidades de controle eletrônico e autônomos L3 ou superior. Base para aprovação de novos modelos na União Europeia a partir de julho de 2022 e obrigatórios a partir de 2024, a UN R155 preconiza a necessidade de análise e mitigação de riscos de cibersegurança.
Esse novo cenário requer a criação de uma cultura de segurança cibernética real e centrada em software, dada a difusão da ameaça à segurança cibernética ao longo de toda a cadeia de valor. As próprias montadoras têm um forte histórico de estabelecer uma cultura de segurança, mas ainda não em segurança cibernética, incluindo toda a cadeia de fornecimento.
Essa mudança de cultura exigirá competências adicionais tais como adaptar as práticas de engenharia de software para uma real análise de funções veiculares, gerenciar os veículos em uso e atuar a tempo em falhas ou potenciais ataques cibernéticos. É preciso repensar a segurança com especialistas credenciados e reconhecidos, que visualizam e testam todos os componentes de segurança digital não apenas do ponto de vista de um hacker, mas com uma abordagem holística, evitando que cibercriminosos assumam o controle de veículos ou roubem dados pessoais.