A conetividade crescente nos veículos está a abrir um novo capítulo nas preocupações de cibersegurança. Funcionalidades antes celebradas - como atualizações remotas e monitorização em tempo real - passaram também a ser vistas como potenciais pontos de entrada para ataques e como um risco indireto para infraestruturas críticas, incluindo redes de transporte público.
Noruega: auditoria deteta vulnerabilidade em autocarros elétricos da Yutong
Na Noruega, uma auditoria interna levantou um alerta: centenas de autocarros elétricos fabricados na China poderão, pelo menos em teoria, ser desligados à distância pelo fabricante.
A identificação do problema foi atribuída à Ruter, a maior operadora de transportes públicos do país. Durante testes de cibersegurança aos autocarros elétricos da Yutong que opera - sendo a Yutong um dos maiores construtores chineses neste segmento - a empresa concluiu que o facto de o fabricante manter acesso digital direto a cada veículo para atualizações remotas de software e diagnósticos remotos cria, em teoria, a capacidade de imobilizar ou desativar um autocarro à distância.
Cartão SIM: o ponto único de conectividade que permite cortar o acesso e operar offline
Segundo a Ruter, a ligação pode ser anulada de forma simples: basta retirar o cartão SIM, já que toda a conectividade depende desse único ponto de acesso.
Apesar de não existir qualquer indício de atividade maliciosa, a operadora norueguesa optou por remover os cartões correspondentes, garantindo que os veículos conseguem funcionar de forma autónoma e offline (sem ligação). A empresa indicou ainda que circulam atualmente cerca de 1300 autocarros elétricos no país, dos quais 850 são da Yutong.
Comparação com a VDL: menos exposição por não aceitar atualizações remotas de software
Além dos modelos da Yutong, a Ruter avaliou também autocarros da VDL, empresa neerlandesa. Por não permitir atualizações remotas de software, esta frota é entendida como menos vulnerável a este tipo de risco associado à conectividade e ao controlo à distância.
Dinamarca confirma vulnerabilidade semelhante na frota de autocarros elétricos chineses
O caso não ficou limitado à Noruega. Pouco tempo depois, a Dinamarca anunciou ter encontrado uma vulnerabilidade do mesmo tipo na sua própria frota de autocarros elétricos produzidos na China.
A Movia, operadora responsável pelos transportes públicos na área da capital, afirmou operar 469 autocarros fabricados no país asiático, incluindo 262 da Yutong.
Resposta do fabricante, encriptação e alojamento de dados na União Europeia (Frankfurt)
Perante o aumento das preocupações, e de acordo com o jornal The Guardian, o construtor chinês assegurou que cumpre “rigorosamente as leis, regulamentos e normas aplicáveis nos países onde os seus veículos operam”. A empresa acrescentou que os dados da União Europeia (UE) “estão protegidos por encriptação e medidas de controlo de acesso”, sendo armazenados num centro de dados da Amazon Web Services, em Frankfurt, na Alemanha.
Debate mais amplo: veículos conectados, atualizações remotas e firewalls sob pressão
Como seria expectável, o episódio tornou mais visível uma discussão maior sobre cibersegurança em veículos conectados, sobretudo numa altura em que mais automóveis e autocarros dependem de atualizações remotas e de troca contínua de dados.
Nesse contexto, o diretor executivo da Ruter, Bernt Reitan Jenssen, destacou um desafio técnico adicional: “A próxima geração de autocarros terá uma maior integração tecnológica entre sistemas, o que tornará mais difícil implementar firewalls (sistema de segurança que atua como uma barreira entre duas redes). Temos, portanto, uma janela tecnológica limitada para aplicar as medidas de segurança necessárias agora.”
Medidas práticas para reduzir o risco em autocarros elétricos conectados
Além da remoção do cartão SIM, operadoras e autoridades podem mitigar a exposição através de medidas como segmentação de redes a bordo (separando sistemas críticos de controlo de condução e travagem dos sistemas de informação ao passageiro), controlo rigoroso de credenciais e acessos, e políticas que limitem o que pode ser alterado por atualizações remotas. Auditorias regulares e testes de intrusão também ajudam a validar se as vias de diagnósticos remotos não permitem escalada de privilégios para funções críticas.
Normas e requisitos de compras públicas: segurança desde a especificação
Outra vertente relevante é a contratação pública: ao definir requisitos de cibersegurança desde o caderno de encargos, pode exigir-se transparência sobre fluxos de dados, localização de armazenamento, registos de auditoria e processos de resposta a incidentes. Este tipo de abordagem incentiva a que a proteção seja planeada à partida, em vez de depender de correções posteriores quando a frota já está operacional.
O tema também nos EUA: proibição e escrutínio a tecnologia ligada à China e à Rússia
Esta discussão não se limita à Europa. Nos EUA, o Departamento do Comércio proibiu este ano a venda de sistemas conectados provenientes da China e da Rússia. No mesmo ambiente de vigilância, até a fabricante de pneus Pirelli viu a sua tecnologia com sensores - parcialmente controlada pela chinesa Sinochem - ser sujeita a um escrutínio semelhante.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário