據蓋世汽車1月26日訊,一位19歲的網絡安全研究員通過第三方漏洞遠端侵入了數量特斯拉汽車,而且他還獲得了車主的電子郵箱,并通知他們正面臨着風險。據相關人員透露包括通用汽車、菲亞特克萊斯勒、福特、特斯拉、豐田、蒂森克虜伯和大衆在内的100多家汽車制造商的敏感檔案被公布在一個隸屬Level One Robotics可公開通路的伺服器上,車企、廠商、使用者的資訊每天都承擔着被黑客攻擊的風險。其實在看似風平浪靜的汽車江湖,一直都承擔着維護資訊安全的壓力。
汽車具有多達150個ECU和大約1億行代碼,并且這一數字随着汽車智能網聯的發展正在不斷膨脹,而大衆市場PC作業系統卻不到4000萬行代碼,在如此懸殊的對比之下,汽車的資訊安全隐患正在不斷顯現。而随着電子電氣化架構的演進與智能網聯汽車的發展,依靠人工智能、視覺計算、雷達、監控裝置和全球定位系統協同合作的自動駕駛與智能座艙系統收集了更多使用者的個人資訊。據工信部網安局釋出資料顯示,近年整車企業車聯網資訊服務商等相關企業和平台的惡意攻擊達到280餘萬次,85%的關鍵部件存在安全漏洞,80%以上的車網聯平台和APP存在身份認證、資料資訊洩露隐患,近六成企業缺乏自動化網絡安全監測和響應能力。
更嚴重的是若有人利用機載系統内的漏洞來控制車機或是禁用重要的安全功能,乘坐智能汽車或是在智能汽車附近的人都将會面臨資訊洩露的危險甚至是生命安全的威脅;那些依賴連接配接車輛運輸貨物或材料的供應鍊組織将面臨營運中斷的風險;主機廠将面臨聲譽方面的損失;維護系統的供應商将面臨迫切需要執行軟體和硬體更新的壓力。
那麼這将對主機廠、供應商、使用者全産業鍊帶來惡劣的影響,資訊安全的問題已經迫在眉睫,如果沒有智能汽車網絡安全就沒有智能汽車。
黑客,圖檔來源:techxplore.com
後知後覺的主機廠
大多數主機廠在傳統汽車安全領域已經有了多年積累,使得車輛本身的安全性能達到了一定的水準,但在資訊安全方面,主機廠做得還遠遠不夠。過去在造車時,主機廠更多是将汽車定義為一個産品,車輛的通用構架往往局限于一個密閉的場景,因而缺少對資訊安全防護的考慮。随着需求與科技的驅動,汽車從原來主機廠提供的産品變為為使用者帶去的一種個性化的服務,而在此時在資訊安全上的不足也就被充分暴露了出來。
在車輛資訊安全領域,自2016年起汽車開始陸續出現黑客攻擊事件後,大部分主機廠才開始意識到資訊安全問題,并開始采取行動,布局汽車資訊安全闆塊。但與此同時,智能網聯的大潮澎湃而來,主機廠為了追求車輛網聯化,直接将現有架構直接接入網際網路中,讓原本封閉系統中的安全漏洞完全暴露在網際網路中,成為被攻擊的目标。
早在2015年7月,兩位著名白帽黑客查理·米勒以及克裡斯·瓦拉塞克曾入侵了一輛Jeep自由光的車載系統,通過軟體遠端向該系統發送指令,啟動了車上的各種功能。可以試想一下,如果使用者正在駕駛被黑客攻擊的智能網聯汽車,黑客可以遠端操控汽車的轉向、制動等等功能,使用者資訊安全被侵害的同時,生命安全也受到了威脅。
究其本質車内資訊系統非常複雜,車輛資訊安全涉及到雲端、管端和車内三個系統,在汽車APP終端、使用者資料安全、通訊安全、伺服器、車載娛樂系統、AVN視聽導航裝置、AST80加密系統等相關領域都有資訊被攻擊的風險。當智能網聯汽車讓互動方式呈現出多樣化和網際網路化,随着“人”這個更為複雜主體的加入,給車内互動系統為車輛資訊安全帶來更大的挑戰,也讓車内資訊安全的維護難度不斷加大。
綜上可以發現,主機廠由于傳統觀念與産品定位的限制,對于資訊安全的防護本就起步晚、底子薄,剛剛準備布局資訊安全領域又遇到了汽車智能網聯化的浪潮,這讓本就處于劣勢的汽車資訊安全系統又面臨更加嚴峻的困難與挑戰。
圖檔來源:鳳凰網
充滿挑戰的産業鍊
不可否認在行業内越發意識到維護資訊安全重要性的同時,主機廠卻在此時因為自身與大環境的問題,無法承擔起這番重責大任。那麼将目光投向全産業鍊的資訊安全系統供應商們身上。此時行業内發現車輛資訊系統大多是國外軟體供應商,這就産生了一個問題,因為這些軟體供應商不可能提供源代碼,是以這為國内相關企業進行資訊系統安全防護帶來了不少麻煩,也掣肘了國内相關企業提升汽車資訊安全性。
不僅資訊安全系統需要突破,要實作車輛資訊安全,在監管方面也是必不可少的。首先要建立基于深度學習等技術的智能異常流量監測機制,提升汽車網絡安全防護能力;其次需要研究基于5G認證架構的通信加密算法,建構可信的“人-車-路-雲”協同通信;并且還需要加強異常強幹擾監測定位技術的研究,實作對衛星導航等系統的異常幹擾源位置的協同定位。
維護資訊安全被不斷提及,但是據智聯招聘調查,大陸近年高校教育培養的資訊安全專業人才僅5萬餘人,而資訊安全相關人才總需求則超過100萬人,缺口高達95%,并且這一需求每年都在成倍增長,人才短缺的問題也成為了掣肘行業發展的又一重要因素。
通過這些原因我們可以發現,車輛資訊安全的構架,單憑主機廠或是供應商之力是無法實作的。在技術、監管、人才的多重影響之下,汽車資訊安全系統在産業鍊内産生失位,由于主機廠與供應商之間的角色定位不清晰,導緻在很長一段時間内,汽車資訊安全系統都處在摸着石頭過河的階段,存在着極大的洩露風險。
圖檔來源:為辰信安
完善,政策法規的跟進
國内在2021年也陸續出台了諸多法律法規和政策來引導汽車資訊安全的發展。2021年9月1日《資料安全法》和《關鍵基礎設施安全保護條例》釋出實施、2021年10月1日《汽車資料安全管理若幹規定》釋出實施、2021年11月1日《個人資訊保護法》釋出等。在政策層面,工信部也出台了一系列政策指導檔案,如《智能網聯汽車生産企業及産品準入管理指南(試行)》、《智能網聯汽車道路測試與示範應用管理規範(試行)》等等。其指出:通信安全标準包括車内通信、V2X通信安全要求、智能通信網關安全要求和測試方法等,針對車輛及車載系統通信、資料、軟硬體安全方面提出防護要求。
在标準層面,強标《GB 汽車整車資訊安全技術要求》和《GB 汽車軟體更新通用技術要求》也将于2022年出台。國家有關部門、第三方機構包括汽标委等部分在加快标準制定的過程中,各大汽車廠商、供應商、安全公司也在不斷貢獻自己的智慧和能力,業内專家普遍認為,2025年前,大陸汽車資訊安全方面的标準體系建設有望得到快速推進。
維護,多方合作築安全長城
就資訊安全而言,其中有諸多具有共性的方面,是以針對不同車輛資訊系統的共性研究,就可以發現更多漏洞并尋求解決辦法,可以幫助不同的車輛整體提升資訊安全性,這也是汽車資訊安全提升的必要舉措。目前,國内汽車資訊安全領域出現的共性技術研究是提升大陸汽車資訊安全領域的重要手段。
圖檔來源:東疆港區
2019年12月奔馳宣布與國内網絡安全領軍企業360攜手修複了19個奔馳智能網聯汽車有關的潛在漏洞,打開了主機廠與科技公司合作共建資訊安全的先河。業内越發意識到汽車資訊安全防護牆的建設需要主機廠、供應商和網際網路公司的共同聯手合作,單靠任何一方都很難提升汽車資訊系統的安全性。
當多方合作不斷突破後,主機廠将對零部件的資訊安全品質把控能力不斷提升,其用于限制零部件供應商的安全标準與内部的安全驗證、測試能力也将不斷更新。2018年,奇瑞攜手百度,共建Apollo汽車資訊安全實驗室。2020年,長城汽車與國家網際網路應急響應中心、奇虎360、百度安全實驗室、中汽中心建立合作夥伴關系,開展資訊安全技術研究,提高整車資訊安全防護水準。此外,一汽、上汽、吉利、長安、東風等國内具有代表性的主機廠正在通過多方合作打造其資訊安全系統,随着智能網聯汽車的不斷落地,這些系統也将越發占據重要地位。
目前行業内上海磐起資訊科技有限公司、維克多、攬閣資訊科技、新思科技等公司正在基于密碼算法的安全防護技術不斷突破;吉大正元、信長城、格爾軟體、天誠安信等公司深耕于PKI技術的安全認證技術;EB、瓶缽、愛加密、梆梆安全、幾維安全正在不斷打破智能網聯汽車資訊安全之加強技術(T-box/IVI/app)邊界;在智能汽車網絡安全測試技術上,是德科技、德斯拜思、開源網安、東軟、ETAS、為辰信安等企業也頗具發言權。
總體而言,要全面做好資料防洩密需求還是需要花費許多功夫。各大公司提供的資訊安全解決方案,在安全政策管理、配置管理、安全能力管理、安全日志管理等與特定安全應用等功能上各顯神通,其涵蓋資料安全、移動安全、雲安全存儲、加密應用及敏感資訊防護等方面安全産品。
為充分應對車輛資訊安全挑戰,蓋世汽車将于2022年3月17-18日舉辦2022中國汽車資訊安全與功能安全大會,了解産業趨勢,明确發展方向。