Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarInclinando-se contra a lei de reparos, NHTSA endossa segurança através da obscuridade
A “segurança através da obscuridade” – a noção de que manter o funcionamento da tecnologia em segredo é um meio de protegê-la contra ataques – foi abandonada há muito tempo pelos profissionais de segurança cibernética e pela indústria de segurança da informação em geral. Como a história nos tem mostrado: sigilo não é o mesmo que segurança e não resiste bem a adversários inteligentes, engenhosos e determinados.
Só não conte à Administração Nacional de Segurança no Trânsito Rodoviário (NHTSA), que se pronunciou fortemente a favor do conceito em uma carta a 22 montadoras na semana passada. A carta, datada de 13 de junho, visava uma lei de Massachusetts que fornece aos proprietários de veículos controle e acesso aos dados telemáticos de seus carros. A NHTSA disse que a lei poderia facilitar ataques cibernéticos e “permitir a manipulação de sistemas em um veículo, incluindo funções críticas de segurança, como direção, aceleração ou frenagem”. Ele passou a dizer às montadoras que os riscos cibernéticos telemáticos constituem um risco à segurança dos veículos e entram em conflito com a Lei Nacional de Trânsito e Segurança de Veículos Motorizados (Lei de Segurança), uma lei que data de meados da década de 1960, e quase ordena que eles mantenham a telemática de seus veículos sistemas fechados.
“Dados os graves riscos de segurança apresentados pela Lei de Acesso a Dados, tomar medidas para abrir o acesso remoto às unidades telemáticas dos veículos de acordo com essa lei, que exige vias de comunicação para os sistemas de controle de veículos, entraria em conflito com as suas obrigações sob a Lei de Segurança,” NHTSA escreveu.
Mas ao endossar a segurança dos fabricantes de automóveis através da obscuridade, a NHTSA ignorou tanto as suas próprias melhores práticas cibernéticas como relatórios recentes que sugerem que os sistemas telemáticos dos fabricantes de automóveis estão repletos de falhas e vulnerabilidades de segurança exploráveis.
A lei de direito telemático de reparo de veículos de Massachusetts foi escrita para tornar mais fácil e menos dispendioso para os proprietários de veículos consertar seus carros, promovendo a concorrência no mercado de reparo automotivo. Há três anos, as medidas eleitorais geraram uma campanha rancorosa que durou meses, em que os fabricantes de automóveis gastaram milhões de dólares em publicidade televisiva alertando os residentes de Massachusetts, sem provas, de que o acesso a informações sobre reparação de veículos daria aos criminosos e perseguidores acesso às suas casas e veículos. As táticas de intimidação da indústria não funcionaram: a medida eleitoral foi aprovada com mais de três quartos dos eleitores apoiando-a em novembro de 2020.
Mas esse não foi o fim. Sua aprovação gerou um processo no mesmo mês movido por um grupo de lobby da indústria automobilística. Esse processo, Alliance for Automotive Innovation vs. Campbell, está parado no tribunal do juiz federal Douglas Woodlock há mais de dois anos, sem nenhuma decisão à vista. Em 1º de junho, a recém-eleita procuradora-geral de Massachusetts, Andrea Joy Campbell, começou a aplicar a lei na ausência de uma decisão judicial a favor ou contra ela. A carta da NHTSA, duas semanas depois, afetou a fiscalização do estado.
Há apenas um problema: a lei de direito de reparo de automóveis de Massachusetts não faz nenhuma das coisas que a carta da NHTSA diz que faz. Conforme escrita e aprovada pelos eleitores de Massachusetts, a lei simplesmente diz que os veículos vendidos em Massachusetts que utilizam um sistema telemático são obrigados a equipar esses veículos com “uma plataforma interoperável, padronizada e de acesso aberto em todas as marcas e modelos do fabricante”. A segurança não é uma reflexão tardia. Na verdade, a lei especifica que “tal plataforma deve ser capaz de comunicar de forma segura todos os dados mecânicos emanados diretamente do veículo motorizado através de ligação direta de dados à plataforma”.
É isso. A palavra “aberto” aparece apenas uma vez na atualização de 2020 da lei de acesso a dados e é usada no contexto de “não proprietário”, não de “não seguro”. O que a lei faz é tirar os fabricantes de automóveis do papel de guardiões que podem decidir quem tem acesso aos dados telemáticos dos veículos. Em vez disso, afirma que os indivíduos podem aceder e partilhar os dados telemáticos produzidos pelo seu veículo como entenderem, incluindo com terceiros, profissionais de reparação independentes.