全球範圍內對於智慧汽車的網路安全監管已經進入實質性落地階段。
今年8月,工業和資訊化部發布了《關於加強智慧網聯汽車生產企業及產品准入管理的意見》(下稱《意見》),其中,汽車資料安全、網路安全、軟體升級成為智慧網聯汽車監管的關鍵技術應用領域。
而在其他市場,自2022年7月起,在歐洲、日本和韓國推出的新車型,汽車製造商必須遵守R155汽車網路安全法規。其中,ISO/SAE 21434提供了一個嚴格的框架,旨在使供應商和汽車製造商能夠設計出抵禦各種網路安全威脅的系統。
按照計劃,報批的新車型必須在2022年7月前達標,所有下線新車都需要在2024年7月之前遵守這一規定。這兩項規定將波及全球所有向歐洲銷售汽車的汽車製造商。
而在8月31日,ISO/SAE 21434《道路車輛-網路安全工程》正式版釋出,定義了針對所有車載電子系統、車輛部件、車載軟體及外部網路的網路資訊保安工程設計實踐/做法。
業內人士表示,“這是智慧汽車的一個新時代,在保證傳統功能安全合規的同時,確保網路安全的合規,從硬體到軟體以及整個系統級的安全保障。”
一、
對於汽車行業來說,網路安全問題並不新鮮。
在過去十年中,三種最常見的汽車網路攻擊載體是伺服器、無鑰匙進入系統和移動應用程式,2020年針對伺服器的攻擊增長了73%。三大攻擊載體均為遠端攻擊,2020年,遠端攻擊佔事件總數的77.8%。
迄今為止,與汽車行業相關的CVE(常見漏洞和披露)共有110個,2020年為33個,而2019年為24個。其中,36%的事件涉及資料和隱私侵犯,28%的事件涉及盜竊或入侵。
有報告指出,按照即將出臺的法規要求的對映分析,2020年的汽車網路安全事件中,89.9%與車輛通訊通道相關,86.7%與車輛資料/程式碼相關,這是兩大威脅類別。
此外,過去網路安全更多與系統和軟體相關,如今,越來越多的工程師接觸到FMEDA流程、故障注入和分析等安全機制。半導體IP和SoC的開發者需要避免安全漏洞和評估設計的可信度。
近日,歐盟網路安全機構(ENISA)釋出報告稱,智慧網聯汽車非常容易受到各種攻擊,包括感測器攻擊、誤導目標檢測系統、資料中心後端惡意攻擊,以及在訓練資料或物理世界中呈現的對抗性機器學習攻擊,從而危險乘客、行人和其他車輛。
在這方面,目前華為公司已經進入實質性研發及測試驗證階段,包括對公司提供的智慧汽車相關產品和解決方案進行漏洞挖掘與漏洞利用,引入安全攻防技術方法與工具,並在測試驗證專案中落地。
此外,華為位於德國慕尼黑的研究中心(負責先進技術研究、架構演變設計和戰略技術規劃),正在為未來的華為車載產品開發汽車網路安全技術和前沿安全解決方案。
而傳統汽車零部件供應商也開始聚焦網路安全技術領域,並展開收購。
近日,韓國汽車電子供應商LG公司宣佈,將收購以色列汽車網路安全專家Cybellum,並加緊部署下一代汽車硬體和服務。在此之前,LG主要供應商車載顯示屏、攝像頭、娛樂主機、通訊模組及T-Box,部分產品佔據全球市場份額的龍頭地位。
按照計劃,LG在第一階段將以1.4億美元的價格收購Cybellum 64%的股份,隨後將透過股權增資2000萬美元。最後剩餘的股份將在後續完成收購,整體收購金額將達到2.4億美元。
“軟體在汽車行業扮演的關鍵角色已經不是秘密,隨之而來的是對有效的網路安全解決方案的需求。”LG電子汽車零部件解決方案公司總裁Kim Jin-yong表示,“此次收購將進一步鞏固公司在網路安全方面的技術實力,併為互聯汽車時代做好更充分的準備。”
Cybellum成立於2016年,是以色列眾多網路安全初創公司中的一家,這些公司的創始人大部分來自以色列國防部隊網路安全部門。此前,Cybellum的合作客戶包括捷豹路虎、日產、哈曼、豐田通商和PTC。
和其他公司不同,Cybellum的技術路線是建立一個所謂的系統“數字孿生”,對現有單一系統進行監控,以捕捉、識別和評估安全威脅。這是一種解決單一元件(沒有冗餘備份)實時安全監控的低成本方案,幫助汽車製造商減少不必要的成本支出。
在安波福相關負責人看來,汽車網路安全與傳統IT網路安全有很大的不同,它需要不同的方法。比如,汽車製造商必須考慮在車輛出廠後提供10年甚至20年的網路安全維護。
二、
目前,汽車網路安全的第一道關卡(通訊閘道器)正在進入量產考驗。
恩智浦公司最近宣佈,S32G閘道器處理器已獲得第三方實驗室認證,符合最新發布的ISO/SAE 21434標準。考慮到R155(國際汽車網路安全法規)將於2022年7月生效,意味著屆時全球三分之一以上的新車,需要為軟硬體網路安全合規提前做準備。
“該標準在整個汽車生命週期中,從概念、開發到生產,定義了清晰的要求,”恩智浦半導體汽車安全技術總監Timo van Roermund表示,“標準的引入,加速汽車行業從模糊安全向透過設計開發流程保障安全的轉變。”
業內人士坦言,隨著智慧化、網聯化搭載率的快速提升,對整車系統進行遠端駭客攻擊比以前容易得多,成本也低得多,甚至可以同時對大批車輛進行攻擊。因此,行業提高對汽車網路安全問題的認識,已經勢在必行。
“事實上,今天幾乎每一輛在路上行駛的汽車,如果可以聯網,都可能被駭客入侵。”這是GuardKnox公司執行長Moshe Shlisel的觀點,越來越複雜的整車電子系統,聯網率的提升,正在增加安全漏洞的曝光度。
而在中國市場,不少企業也已經開始進行商業化部署。
2021年8月16日,誠邁科技宣佈與網路安全技術領導者Trustonic建立合作關係,雙方將結合自身專業技術進行優勢互補與深度融合,共同保障車聯網安全。
據瞭解,Trustonic旗下的Trustonic Kinibi 510是行業內最成熟、最安全的可信執行環境(TEE)作業系統之一,可以顯著提高車聯網安全性和側通道保護,滿足汽車安全所需的高標準,尤其是新的UNECE WP.29標準。
誠邁科技高階副總裁鄒曉冬表示,接下來Kinibi 510將納入到誠邁科技智慧汽車解決方案,從車載資訊娛樂系統連線模組、網路閘道器到高階駕駛員輔助系統 (ADAS),全面保護所有數字版權管理以及個人使用者資料。
“車聯網安全將成為全球汽車產業的主要技術方向之一。”誠邁科技認為,軟體核心價值和資料安全保障能力的協同創新是車聯網安全突破的關鍵。
為此,Upstream Security公司提出了整車網路安全的三步策略,首先,安全必須是每個元件設計的一部分。其次,需要一個多層次的網路安全解決方案,包括車載、IT網路和雲安全防禦。第三,汽車製造商需要建立車輛安全運營中心,以監控、檢測和快速響應網路安全事件。
“安全問題不應該是事後才考慮的問題,而應該是確保車輛在公開道路上可靠部署的先決條件,”科絡達CEO吳柏儀表示,同時要探索建立智慧車輛安全自我評估和事故報告制度。
就在幾周前,工信部發布了《關於開展汽車資料安全、網路安全等自查工作的通知》,要求整車企業應於2021年10月12日前積極開展汽車資料安全、網路安全、軟體線上升級、駕駛輔助功能情況的自我核查工作。
吳柏儀表示:隨著智慧網聯汽車的普及,對智慧汽車的安全性和穩定性提出了史無前例的高要求。比如,自動駕駛是否會收到駭客的攻擊,智慧座艙環境車主的隱私問題,智慧汽車OTA升級的安全和穩定,等等問題。
在汽車網路安全方面,相關政策已經明確提出,企業應當建立汽車網路安全管理制度,依法落實網路安全等級保護制度和車聯網絡卡實名登記管理要求,明確網路安全責任部門和負責人。
9月15日,工信部再次發文《關於加強車聯網網路安全和資料安全工作的通知》,對於新車網路安全首次明確提出“三個加強”,同時啟動了網路安全威脅和漏洞資訊共享平臺進行資料報送的相關指引。
其中,“三個加強”分別是,加強車內系統通訊安全保障,強化安全認證、分域隔離、訪問控制等措施,防範偽裝、重放、注入、拒絕服務等攻擊。
同時,加強車載資訊互動系統、汽車閘道器、電子控制單元等關鍵裝置和部件安全防護和安全檢測。加強診斷介面(OBD)、通用序列匯流排(USB)埠、充電埠等的訪問和許可權管理。
此外,全國通訊標準化技術委員會、全國汽車標準化技術委員會等將加快組織制定車聯網防護定級、服務平臺防護、汽車漏洞分類分級、通訊互動認證、資料分類分級、事件應急響應等標準規範及相關檢測評估、認證標準。
————————————————
版權宣告:本文為CSDN博主「高工智慧汽車」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處連結及本宣告。
原文連結:https://blog.csdn.net/GGAI_AI/article/details/120481803
