新兴网络威胁对转型中的汽车行业构成风险。
我们的汽车早已成为可行驶的计算机。推进数字化、自动驾驶以及增强连通性随之对网络安全提出了新的挑战。
人们发现了令人担忧的安全漏洞
数字化对汽车行业也产生了影响。它不但实现了自动驾驶,而且增强了车辆间以及车辆与交通基础设施之间的连通性,但这些进展在提高安全性的同时也产生了新的威胁。
例如,美 国网络安全专家 发现宝马、保时捷和奔驰等知名汽车品牌的后端和业务IT系统存在令人担忧的安全漏洞。这些漏洞能影响私家车以及警车和救护车等应急车辆。专家们不仅能控制车灯和喇叭,还能开关车门和启动发动机。此外,他们能复制车辆数据,重置系统设置,甚至在某些情况下访问制造商的内部网络。
软件定义车辆带来新的风险
威胁场景随着日益增强的连通性、自动驾驶和复杂的软件技术发生急剧变化。曾经的攻击必须在车辆中亲自发动,而如今可通过安装无线模块从互联网或其他通信接口进行攻击。
增强的连通性
自动驾驶
系统复杂性
车辆之间日益增强的连通性是促使威胁不断上升的原因之一。汽车加入全球网络后可提供便捷服务,例如通过无线网络对车辆软件进行在线升级,但这也提供了新的攻击向量。
日益增长的监管要求
联合国欧洲经济委员会(UNECE)根据《1958年公约》起草了新的监管要求(如R155和R156)以应对日益严重的威胁。这些要求旨在确保机动车辆从供应链乃至整个生命周期的网络安全。
同时,2021年8月公布的ISO/SAE 21434(道路车辆——网络安全工程)标准为各组织提供了可供实施的新法规。这是为制造商提供的首个统一且有约束性的监管体系。因为整个供应链均须接受审计,所以供应商也必须遵守这些要求。
TISAX® (可信信息安全评估与交换)是德国汽车工业协会(VDA)制定的一种汽车行业信息安全测试和交换机制。该标准基于德国汽车工业协会的信息安全评估(ISA)要求建立,而后者以ISO/IEC 27001为基础。在汽车行业,TISAX®通常是建立业务关系的先决条件,尤其是在涉及敏感信息时。该标准旨在减少不必要的审计并确保符合行业安全标准。
必要的保护措施
保护措施可能对车辆的安全要求和电气/电子架构产生深远的影响。其主要涉及落实供应链中的各项要求,以使新一代汽车“更安全”,同时对旧工艺进行升级,以适应新的现实。建议在整个生命周期中采取以下措施:
安全更新:与任何计算机或智能手机一样,对车辆系统进行相关安全更新是填补已知和潜在安全漏洞的重要举措。
网络分段:隔离重要系统功能与次要功能有助于尽量降低攻击的影响。
硬件安全机制:这些机制可包括硬件防火墙或特殊芯片,以确保车辆仅运行已签名和受信的软件。
渗透测试:由安全专家定期开展测试,可帮助识别和解决车辆系统中的漏洞。
教育和认知:汽车制造商和供应商应斥资对其研发人员和工程师进行网络安全培训。
业内合作:汽车制造业者和供应商应合作并分享关于各种威胁和最佳实践的信息。
警惕第三方设备:车主应审慎接入第三方设备或应用程序。此类设备或应用程序并非始终安全,它们也可能是攻击者的潜在入口点。
安全驶入汽车业的未来
数字化和自动驾驶在颠覆汽车行业的同时也带来了新的网络威胁。其原因在于名牌车辆存在安全漏洞,并且软件的复杂性与日俱增,这使汽车成为了诱人的网络攻击目标。
如今的汽车行业比以往任何时候都更需要培养新的网络安全意识,并在业内开展合作,以平衡创新与安全。
了解关于我们的汽车网络安全服务的更多信息
目前尚不存在关于网络安全的万能解决方案。这就是为什么我们会提供灵活服务——根据您的个人需求和要求量身定制相应的解决方案。
