Gateway seguro para veículos autônomos

De acordo com uma pesquisa internacional, a participação de mercado de veículos sem motorista e altamente automatizados está crescendo rapidamente. Os analistas estimam que os próximos 10 a 15 anos marcarão uma grande mudança de projetos-piloto para a adoção em massa do transporte autônomo. O impulso está crescendo em todo o mundo: a Europa já implementou mais de 35 projetos-piloto de veículos autônomos, enquanto os EUA e a China registram mais de 450 mil e 250 mil viagens comerciais respectivamente por semana. No entanto, o relatório observa vários obstáculos que retardam esse progresso. Uma dessas barreiras é a incerteza em torno da responsabilidade legal e da regulamentação, inclusive nas áreas de segurança e proteção. A alocação de responsabilidade entre fornecedores, fabricantes, clientes corporativos e usuários finais continua sendo um ponto importante de discussão.

Cada player do mercado vê a questão de garantir a segurança de veículos autônomos de forma diferente. Para as montadoras, significa assumir a responsabilidade por como um veículo se comporta na estrada e por verificar seus fornecedores. Para os próprios fornecedores, significa projetar mecanismos de segurança diretamente na sua arquitetura de solução desde o primeiro dia e garantir sua adequação. Para as seguradoras, isso significa revisar completamente seus modelos de risco para considerar não apenas acidentes, mas também possíveis falhas de software e ataques cibernéticos. Em última instância, todos concordam em um ponto fundamental: a segurança deve ser um recurso fundamental do veículo, não um complemento opcional.

Como garantir a segurança veicular na era moderna

Durante anos, as discussões sobre segurança automotiva se concentraram estritamente na segurança funcional. Em outras palavras, o objetivo era garantir que os sistemas veiculares funcionassem corretamente e que os riscos associados a possíveis falhas fossem totalmente mitigados ou reduzidos a um nível aceitável. A norma ISO 26262 “Veículos rodoviários — Segurança funcional” ajuda a enfrentar esse desafio e serve como parâmetro para a indústria automotiva.

No entanto, o veículo conectado moderno é um sistema ciberfísico complexo que armazena e processa grandes quantidades de dados, incluindo informações confidenciais. Como consequência, isso leva ao surgimento de novas necessidades fundamentais. Para traçar uma analogia com dois níveis da hierarquia de necessidades de Maslow, um veículo moderno deve:

• Satisfazer a necessidade de “estima”. Isso significa que o sistema deve armazenar de forma segura e confiável os dados do perfil do usuário, como credenciais da conta, dados biométricos, detalhes de pagamento e muito mais.
• Satisfazer as necessidades cognitivas do usuário, o que significa que o sistema deve fornecer conectividade segura com a internet, transmitir a telemetria do veículo e enviar lembretes para manutenção programada ou de emergência.

Tudo isso significa equipar os veículos com uma ampla gama de interfaces (telemática, Bluetooth, Wi-Fi, conectividade celular, atualizações OTA e V2X), o que abre as portas para ataques remotos. Portanto, é necessário garantir não apenas a segurança funcional, mas também a segurança das informações no veículo. Como resultado, normas especializadas do setor que ajudam a enfrentar os desafios de segurança cibernética automotiva surgiram na maioria dos países. As principais normas internacionais são ISO/SAE 21434 “Veículos rodoviários — Engenharia de segurança cibernética”, UNECE R155 e UNECE R156.

As regulamentações na China também estão evoluindo. Em 2024, o país publicou a norma nacional GB 44495-2024 “Requisitos Técnicos para Segurança Cibernética de Veículos”, que entrou em vigor em 1º de janeiro de 2026. O documento introduz requisitos obrigatórios de segurança cibernética para veículos, incluindo proteção de comunicações, gerenciamento de eventos de segurança, monitoramento de ameaças e interação segura do veículo com a infraestrutura externa.

Compreender e aplicar essas normas está se tornando absolutamente crítico. A pesquisa mostra que os riscos de segurança cibernética estão aumentando diariamente e o impacto na segurança funcional pode eventualmente desencadear incidentes muito mais perigosos do que uma falha interna do sistema. O que acontece se um invasor obtiver acesso ao sistema de controle remoto de um caminhão autônomo ou conseguir atualizar uma unidade de controle eletrônico crítica durante uma sessão de diagnóstico não autorizada?

Um dos principais componentes para mitigar esses cenários é um gateway de segurança, que isola a arquitetura do veículo em diferentes domínios com base na criticidade, ao mesmo tempo em que fornece roteamento, filtragem e controle de tráfego seguros. Desenvolver esse tipo de solução de software é precisamente o foco de nossa equipe à medida que criamos o Kaspersky Automotive Secure Gateway com base em KasperskyOS.

Qual o diferencial do Kaspersky Automotive Secure Gateway?

O objetivo principal do Kaspersky Automotive Secure Gateway (KASG) é proteger o domínio CAN do veículo, pois o barramento CAN é usado para transmitir uma grande quantidade de comandos de controle críticos. Isso afeta quase 80% das unidades de controle eletrônico dentro do veículo, que lidam com o gerenciamento do motor, frenagem, eletrônica da carroceria e muito mais. Por isso, utilizamos a abordagem de Cibersegurança Protetiva, uma arquitetura unificada que considera os requisitos de segurança funcional e de segurança cibernética.

Por exemplo, os mecanismos padrão de Proteção de ponta a ponta (E2E) são normalmente usados para mitigar os riscos associados a mensagens CAN perdidas, fora de ordem ou corrompidas. No entanto, esses mecanismos não foram originalmente projetados para combater ciberataques direcionados. Se um invasor conseguir construir um quadro malicioso que esteja em conformidade com o formato E2E necessário, o sistema poderá aceitá-lo como válido.

Isso introduz um novo fator: é fundamental não apenas verificar se uma mensagem foi entregue sem erros, mas também garantir que foi realmente gerada por uma unidade de controle eletrônico (ECU) confiável e não foi alterada em trânsito. Isso é particularmente vital para transmitir comandos de controle, como aqueles enviados ao sistema de frenagem do veículo, ou para implementar sistemas de entrada sem chave (NFC).

Para enfrentar esse desafio, os mecanismos de Comunicação Segura A Bordo (SecOC) são integrados à arquitetura do veículo. Esses sistemas usam métodos criptográficos para verificar a autenticidade e a integridade da mensagem, protegendo o sistema contra ataques de spoofing e repetição de mensagens. O KASG implementa com sucesso esses mecanismos, que, além da verificação de mensagens, executam a função crucial de gerenciamento centralizado de chaves. Isso permite que as chaves de criptografia sejam distribuídas e atualizadas a partir de um único ponto dentro do veículo, reduzindo o custo e a carga de processamento nas ECUs envolvidas na troca de dados apoiada pelo SecOC.

IDS automotivo

No entanto, em sistemas complexos, não é mais suficiente aplicar mecanismos de segurança somente a mensagens individuais ou segmentos de rede separados. É essencial fornecer monitoramento e controle em todo o veículo, rastreando anomalias comportamentais, interações incomuns entre domínios e tentativas de adulteração não autorizadas. No domínio de TI, isso é conhecido como um Sistema de Detecção de Intrusão (IDS). Esses sistemas também foram adotados com sucesso pela indústria automotiva.

Ao mesmo tempo, é importante perceber que, para um veículo moderno, um IDS não é um único ponto mágico de coleta e análise de dados. O veículo requer um sistema de monitoramento distribuído. O monitoramento é realizado em vários níveis de arquitetura: dentro dos domínios, no nível do controlador individual e nos limites da rede.

O gateway de segurança se torna um ponto de monitoramento crítico porque toda a interação entre domínios passa por ele. Além disso, o gateway fornece visibilidade da troca de dados em diferentes segmentos da rede veicular. Sua missão é detectar desvios do comportamento normal e gerar eventos de segurança.

Quando se trata do monitoramento do domínio CAN implementado no KASG, o IDS observa os seguintes critérios para análise de tráfego:

• Alinhamento dos parâmetros da mensagem CAN (CAN ID, DLC) com suas descrições na especificação DBC.
• Frequência e periodicidade das mensagens CAN.
• Faixas permitidas para sinais CAN.

Na prática, no entanto, uma limitação importante fica clara: mesmo com um IDS integrado, é necessário mais contexto para determinar as características exatas de um ataque. Além disso, ao operar veículos altamente automatizados, onde o monitoramento de toda a frota é essencial, essa análise isolada torna-se inerentemente insuficiente.

Conectar um veículo a um SIEM

O monitoramento de múltiplos objetos, a correlação de dados e a análise de dados podem ser tratados externamente com eficiência, especificamente em sistemas SIEM (Gerenciamento de Eventos e Informações de Segurança), que são tradicionalmente usados em centros de operações de segurança cibernética corporativos e industriais. Portanto, utilizar um sistema SIEM em toda a frota é uma etapa lógica que torna possível:

• Coletar eventos de segurança de vários veículos.
• Correlacione eventos ao longo do tempo e entre contextos.
• Detecte ataques avançados e distribuídos.
• Fornecer auditoria e investigação de incidentes.
• Responda a incidentes individuais e gerencie os riscos cibernéticos em toda a frota.

Ao integrar com sistemas SIEM externos, várias tarefas críticas devem ser abordadas: garantir uma conexão segura, ajustar o processo de transmissão de eventos de segurança e estabelecer regras de linha de base para o processamento e a correlação de eventos. Estamos trabalhando ativamente em todos esses desafios usando nosso próprio sistema SIEM Kaspersky Unified Monitoring and Analysis Platform como plano-base.

Ainda há muitos desafios pela frente que precisam ser resolvidos. Este artigo abordou apenas uma fração das metodologias atualmente usadas no KASG para garantir a segurança e proteção veicular. No entanto, mesmo esta pequena seção demonstra que a segurança automotiva não pode ser alcançada resolvendo um único problema ou aplicando um único mecanismo. Alcançar a proteção eficaz requer uma abordagem que permita o desenvolvimento metódico da arquitetura, equilibrando diversos requisitos para a funcionalidade, segurança e confiabilidade veicular.