Especialistas do setor discutem segurança cibernética de equipamentos na Bauma 2025

Os painelistas da mesa redonda sobre segurança cibernética (LR): Marcus Hiemer, ZF Group; Johannes Hipp, VDMA; Roman Hofmann, Liebherr; Chris Sleight, Off-Highway Research; Laura Fiumara, CECE. (Imagem: KHL Group)

Vivemos numa era em que é difícil encontrar um momento em que não estejamos conectados à internet. Praticamente todas as mesas em todos os locais de trabalho têm um computador conectado, cada bolso carrega um smartphone e inúmeras mãos mexem incansavelmente em tablets.

Essa conectividade também se estendeu às máquinas. Chamada de Internet das Coisas (IoT), é o que permite que um equipamento notifique um operador sobre uma possível condição de falha ou que um OEM implante uma atualização de firmware sem fio que desbloqueia novas funcionalidades.

Essa interconexão também facilita o sequestro eletrônico de dados por pessoas mal-intencionadas e inescrupulosas — e até mesmo do próprio equipamento.

“Hoje, lidamos com muitos dados conectados entre si”, disse Marcus Hiemer, gerente sênior de Eletrônicos Off-Highway do Grupo ZF. “Por isso, é importante proteger os dados e, em particular, a confidencialidade, a disponibilidade e a integridade dos dados.”

Os comentários de Hiemer foram feitos em um painel de discussão sobre segurança cibernética no estande da ZF durante a Bauma 2025. Moderado por Julian Buckley, editor da Power Progress International , Hiemer foi acompanhado por vários outros especialistas do setor:

• Laura Fiumara, gerente de política digital, Comitê de Equipamentos de Construção Europeus (CECE)
• Johannes Hipp, porta-voz técnico, VDMA
• Roman Hofmann, responsável pela segurança de produtos da Liebherr
• Chris Sleight, diretor administrativo da Off-Highway Research

Compreendendo a situação

Fiumara falou sobre as atuais ameaças à segurança cibernética de equipamentos.

“Posso apenas dizer que, com base na expertise compartilhada por nossos membros — representamos todos os fabricantes de máquinas de construção — o número de ataques cibernéticos em nosso setor permanece limitado no momento”, disse ela. No entanto, Fiumara acrescentou que o aumento no número de máquinas conectadas no mercado, aliado à maior conscientização sobre segurança cibernética entre os membros da CECE, levou o setor a tomar medidas para lidar com potenciais ameaças à segurança.

O número de dispositivos conectados — embora não se limite a máquinas fora de estrada — não é pequeno. Um estudo de 2024 publicado no Journal of Science and Technology Policy Management citou um relatório da Statista que afirmava que, até 2030, haverá cerca de 50 bilhões de dispositivos de IoT conectados em todo o mundo.

“Há muito malware”, acrescentou Hofmann. “Está se automatizando. Existem bots de malware por aí, e ninguém consegue saber se o seu engenheiro de serviço que está trabalhando na máquina tem um PC ou laptop infectado com software de serviço [que espalha] malware na própria máquina.”

Segundo Hiemer, a segurança cibernética é uma questão que deve ser abordada em toda a cadeia de suprimentos.

“Se produzimos uma ECU, por exemplo, temos que tomar cuidado para que ela não seja adulterada durante a entrega ao próximo ponto da cadeia de suprimentos”, disse ele. “Portanto, o importante é gerenciar todos os processos.”

Regulamentos e Normas

De acordo com Hipp, o ambiente regulatório na Europa em breve abordará a segurança cibernética da IoT.

“Até o final de dezembro de 2027, todos terão que cumprir a Lei de Resiliência Cibernética (CRA) na Europa”, disse ele. “Esta regulamentação abrange todos os produtos com elementos digitais. Portanto, todos os produtos, desde o fornecedor até a sua máquina — a máquina inteira — precisam cumprir a resiliência cibernética.”

Imagem: vectorfusionart via Adobe Stock

Fiumara acrescentou que muitos fabricantes aguardam o desenvolvimento de padrões sob a CRA. "Sob esta nova regulamentação, a segurança cibernética significa, por concepção e por padrão, que todos os componentes e elementos de uma máquina devem ser projetados [desde] a fase de projeto [como] ciber-resilientes."

No entanto, há outra regulamentação que já está tomando medidas para abordar a segurança cibernética, especialmente no que diz respeito à telemática: a Diretiva de Equipamentos de Rádio (RED). Hofmann a descreveu como "o primeiro passo para que alguma segurança cibernética surja" no mercado.

De acordo com uma visão geral dos requisitos de segurança cibernética da RED no site da TÜV SÜD, disposições adicionais à RED foram introduzidas em janeiro de 2022. Elas incluem rede segura, proteção de dados pessoais e proteção contra fraudes. Esses requisitos entram em vigor este ano, em 1º de agosto.

“Já existem normas disponíveis para a Diretiva de Equipamentos de Rádio que abordam todos os produtos e elementos de equipamentos de rádio”, disse Fiumara. “Este seria o primeiro passo para a implementação da CRA — também em combinação com a regulamentação de máquinas, que aborda particularmente [o] nosso setor de máquinas.”

De acordo com Hiemer, há outras atividades de padronização ocorrendo para abordar a segurança cibernética.

“Estamos trabalhando em um padrão ISO off-highway para segurança cibernética”, disse ele, referindo-se à ISO 24882. “Na ZF, também estamos desenvolvendo nosso novo controlador de acordo com esse padrão.”

Hiemer explicou que, embora o controlador EC5 da ZF tenha sido desenvolvido antes da implementação de protocolos de segurança cibernética mais rigorosos, a unidade agora está em conformidade com o padrão de segurança cibernética proposto, mantendo o mesmo formato.

Além da Europa

Embora as regulamentações mencionadas reflitam a legislação europeia de segurança cibernética, o painel discutiu o potencial de legislação semelhante em outras regiões do mundo. Sleight viu essa proliferação como um desafio para os OEMs.

“Há um estudo das Nações Unidas que constatou que 80% dos países do mundo têm algum tipo de legislação sobre segurança cibernética, e outros 5%, aproximadamente, estão desenvolvendo-a”, disse ele. “E isso é preocupante, porque já vimos isso em outros aspectos da conformidade de produtos — que há uma direção geral de progresso. Vimos isso com as emissões dos motores. Mas quando as coisas não são harmonizadas, isso acrescenta muitas dores de cabeça e muitos custos.”

Sleight disse que, mesmo que as regulamentações ao redor do mundo sejam funcionalmente semelhantes, os requisitos de certificação para venda em diferentes regiões geográficas podem ser onerosos.

“Acho que essa é uma das grandes preocupações do setor em relação à segurança cibernética: o setor precisa fazer isso repetidamente em vários blocos e áreas, mesmo com os padrões ISO e SAE?”

Obrigações dos Usuários

O painel sugeriu que os usuários também têm um papel a desempenhar na segurança cibernética.

“Haverá um tipo de processo educacional para o setor”, disse Sleight. “Os produtos serão ciber-resilientes, e é isso que os clientes usarão, mas acredito que haverá alguma responsabilidade sobre eles para entender o que são boas práticas de segurança cibernética e o que são comportamentos de risco.”

Embora o painel tenha dito que caberá aos OEMs fornecer atualizações de segurança cibernética para as máquinas ao longo de sua vida útil, caberá aos usuários finais decidir se desejam implementar essas atualizações.