據蓋世汽車1月26日訊,一位19歲的網路安全研究員透過第三方漏洞遠端侵入了數量特斯拉汽車,而且他還獲得了車主的電子郵箱,並通知他們正面臨著風險。據相關人員透露包括通用汽車、菲亞特克萊斯勒、福特、特斯拉、豐田、蒂森克虜伯和大眾在內的100多家汽車製造商的敏感檔案被公佈在一個隸屬Level One Robotics可公開訪問的伺服器上,車企、廠商、使用者的資訊每天都承擔著被駭客攻擊的風險。其實在看似風平浪靜的汽車江湖,一直都承擔著維護資訊保安的壓力。
汽車具有多達150個ECU和大約1億行程式碼,並且這一數字隨著汽車智慧網聯的發展正在不斷膨脹,而大眾市場PC作業系統卻不到4000萬行程式碼,在如此懸殊的對比之下,汽車的資訊保安隱患正在不斷顯現。而隨著電子電氣化架構的演進與智慧網聯汽車的發展,依靠人工智慧、視覺計算、雷達、監控裝置和全球定位系統協同合作的自動駕駛與智慧座艙系統收集了更多使用者的個人資訊。據工信部網安局釋出資料顯示,近年整車企業車聯網資訊服務商等相關企業和平臺的惡意攻擊達到280餘萬次,85%的關鍵部件存在安全漏洞,80%以上的車網聯平臺和APP存在身份認證、資料資訊洩露隱患,近六成企業缺乏自動化網路安全監測和響應能力。
更嚴重的是若有人利用機載系統內的漏洞來控制車機或是禁用重要的安全功能,乘坐智慧汽車或是在智慧汽車附近的人都將會面臨資訊洩露的危險甚至是生命安全的威脅;那些依賴連線車輛運輸貨物或材料的供應鏈組織將面臨運營中斷的風險;主機廠將面臨聲譽方面的損失;維護系統的供應商將面臨迫切需要執行軟體和硬體更新的壓力。
那麼這將對主機廠、供應商、使用者全產業鏈帶來惡劣的影響,資訊保安的問題已經迫在眉睫,如果沒有智慧汽車網路安全就沒有智慧汽車。
駭客,圖片來源:techxplore.com
後知後覺的主機廠
大多數主機廠在傳統汽車安全領域已經有了多年積累,使得車輛本身的安全效能達到了一定的水平,但在資訊保安方面,主機廠做得還遠遠不夠。過去在造車時,主機廠更多是將汽車定義為一個產品,車輛的通用構架往往侷限於一個密閉的場景,因而缺少對資訊保安防護的考慮。隨著需求與科技的驅動,汽車從原來主機廠提供的產品變為為使用者帶去的一種個性化的服務,而在此時在資訊保安上的不足也就被充分暴露了出來。
在車輛資訊保安領域,自2016年起汽車開始陸續出現駭客攻擊事件後,大部分主機廠才開始意識到資訊保安問題,並開始採取行動,佈局汽車資訊保安板塊。但與此同時,智慧網聯的大潮澎湃而來,主機廠為了追求車輛網聯化,直接將現有架構直接接入網際網路中,讓原本封閉系統中的安全漏洞完全暴露在網際網路中,成為被攻擊的目標。
早在2015年7月,兩位著名白帽駭客查理·米勒以及克里斯·瓦拉塞克曾入侵了一輛Jeep自由光的車載系統,透過軟體遠端向該系統傳送指令,啟動了車上的各種功能。可以試想一下,如果使用者正在駕駛被駭客攻擊的智慧網聯汽車,駭客可以遠端操控汽車的轉向、制動等等功能,使用者資訊保安被侵害的同時,生命安全也受到了威脅。
究其本質車內資訊系統非常複雜,車輛資訊保安涉及到雲端、管端和車內三個系統,在汽車APP終端、使用者資料安全、通訊安全、伺服器、車載娛樂系統、AVN視聽導航裝置、AST80加密系統等相關領域都有資訊被攻擊的風險。當智慧網聯汽車讓互動方式呈現出多樣化和網際網路化,隨著“人”這個更為複雜主體的加入,給車內互動系統為車輛資訊保安帶來更大的挑戰,也讓車內資訊保安的維護難度不斷加大。
綜上可以發現,主機廠由於傳統觀念與產品定位的限制,對於資訊保安的防護本就起步晚、底子薄,剛剛準備佈局資訊保安領域又遇到了汽車智慧網聯化的浪潮,這讓本就處於劣勢的汽車資訊安全系統又面臨更加嚴峻的困難與挑戰。
圖片來源:鳳凰網
充滿挑戰的產業鏈
不可否認在行業內越發意識到維護資訊保安重要性的同時,主機廠卻在此時因為自身與大環境的問題,無法承擔起這番重責大任。那麼將目光投向全產業鏈的資訊安全系統供應商們身上。此時行業內發現車輛資訊系統大多是國外軟體供應商,這就產生了一個問題,因為這些軟體供應商不可能提供原始碼,所以這為國內相關企業進行資訊系統安全防護帶來了不少麻煩,也掣肘了國內相關企業提升汽車資訊保安性。
不僅資訊安全系統需要突破,要實現車輛資訊保安,在監管方面也是必不可少的。首先要建立基於深度學習等技術的智慧異常流量監測機制,提升汽車網路安全防護能力;其次需要研究基於5G認證框架的通訊加密演算法,構建可信的“人-車-路-雲”協同通訊;並且還需要加強異常強幹擾監測定位技術的研究,實現對衛星導航等系統的異常干擾源位置的協同定位。
維護資訊保安被不斷提及,但是據智聯招聘調查,我國近年高校教育培養的資訊保安專業人才僅5萬餘人,而資訊保安相關人才總需求則超過100萬人,缺口高達95%,並且這一需求每年都在成倍增長,人才短缺的問題也成為了掣肘行業發展的又一重要因素。
透過這些原因我們可以發現,車輛資訊保安的構架,單憑主機廠或是供應商之力是無法實現的。在技術、監管、人才的多重影響之下,汽車資訊安全系統在產業鏈內產生失位,由於主機廠與供應商之間的角色定位不清晰,導致在很長一段時間內,汽車資訊安全系統都處在摸著石頭過河的階段,存在著極大的洩露風險。
圖片來源:為辰信安
完善,政策法規的跟進
國內在2021年也陸續出臺了諸多法律法規和政策來引導汽車資訊保安的發展。2021年9月1日《資料安全法》和《關鍵基礎設施安全保護條例》釋出實施、2021年10月1日《汽車資料安全管理若干規定》釋出實施、2021年11月1日《個人資訊保護法》釋出等。在政策層面,工信部也出臺了一系列政策指導檔案,如《智慧網聯汽車生產企業及產品准入管理指南(試行)》、《智慧網聯汽車道路測試與示範應用管理規範(試行)》等等。其指出:通訊安全標準包括車內通訊、V2X通訊安全要求、智慧通訊閘道器安全要求和測試方法等,針對車輛及車載系統通訊、資料、軟硬體安全方面提出防護要求。
在標準層面,強標《GB 汽車整車資訊保安技術要求》和《GB 汽車軟體升級通用技術要求》也將於2022年出臺。國家有關部門、第三方機構包括汽標委等部分在加快標準制定的過程中,各大汽車廠商、供應商、安全公司也在不斷貢獻自己的智慧和能力,業內專家普遍認為,2025年前,我國汽車資訊保安方面的標準體系建設有望得到快速推進。
維護,多方合作築安全長城
就資訊保安而言,其中有諸多具有共性的方面,所以針對不同車輛資訊系統的共性研究,就可以發現更多漏洞並尋求解決辦法,可以幫助不同的車輛整體提升資訊保安性,這也是汽車資訊保安提升的必要舉措。目前,國內汽車資訊保安領域出現的共性技術研究是提升我國汽車資訊保安領域的重要手段。
圖片來源:東疆港區
2019年12月賓士宣佈與國內網路安全領軍企業360攜手修復了19個賓士智慧網聯汽車有關的潛在漏洞,打開了主機廠與科技公司合作共建資訊保安的先河。業內越發意識到汽車資訊保安防護牆的建設需要主機廠、供應商和網際網路公司的共同聯手合作,單靠任何一方都很難提升汽車資訊系統的安全性。
當多方合作不斷突破後,主機廠將對零部件的資訊保安質量把控能力不斷提升,其用於約束零部件供應商的安全標準與內部的安全驗證、測試能力也將不斷更新。2018年,奇瑞攜手百度,共建Apollo汽車資訊保安實驗室。2020年,長城汽車與國家網際網路應急響應中心、奇虎360、百度安全實驗室、中汽中心建立合作伙伴關係,開展資訊保安技術研究,提高整車資訊保安防護水平。此外,一汽、上汽、吉利、長安、東風等國內具有代表性的主機廠正在透過多方合作打造其資訊安全系統,隨著智慧網聯汽車的不斷落地,這些系統也將越發佔據重要地位。
目前行業內上海磐起資訊科技有限公司、維克多、攬閣資訊科技、新思科技等公司正在基於密碼演算法的安全防護技術不斷突破;吉大正元、信長城、格爾軟體、天誠安信等公司深耕於PKI技術的安全認證技術;EB、瓶缽、愛加密、梆梆安全、幾維安全正在不斷打破智慧網聯汽車資訊保安之加固技術(T-box/IVI/app)邊界;在智慧汽車網路安全測試技術上,是德科技、德斯拜思、開源網安、東軟、ETAS、為辰信安等企業也頗具發言權。
總體而言,要全面做好資料防洩密需求還是需要花費許多功夫。各大公司提供的資訊保安解決方案,在安全策略管理、配置管理、安全能力管理、安全日誌管理等與特定安全應用等功能上各顯神通,其涵蓋資料安全、移動安全、雲安全儲存、加密應用及敏感資訊防護等方面安全產品。
為充分應對車輛資訊保安挑戰,蓋世汽車將於2022年3月17-18日舉辦2022中國汽車資訊保安與功能安全大會,瞭解產業趨勢,明確發展方向。
