实现“新四化”离不开车内系统数字化、车载IT系统的后端扩展以及软件传输,这些变化使现代汽车成为一个信息交换中心。随之而来的是智能网联汽车被入侵的事件,过去几年里,安全研究员入侵智能网联汽车的新闻频繁登上媒体头条,汽车信息安全问题不容忽视。
为了应对智能网联汽车数据安全中日益严重的漏洞,监管机构采取了行动。一个新的法规即将出台——UNECE WP.29(UNECE:联合国欧洲经济委员会)考虑到UNECE法规在全球汽车领域应用范围之广,预计这项法规会在UNECE 1958年协议的54个缔约国中广泛采用并覆盖至全球,这将引发UNECE成员国汽车工业的范式转型,对于有计划出口至欧盟地区的汽车制造商而言将面临更为严峻的准入挑战。
1.0 汽车网络安全将成为衡量汽车质量的一个新标准
软件是现代汽车的主要创新之一
软件和电子/电气(E / E)组件已经成为现代汽车的关键创新之一,这也是将来的趋势。该市场预计将从2020年的2380亿美元增长到2030年的4690亿美元,增长率相当于每年超过7%。
软件在很大程度上推动了这种增长,并且软件将成为一个关键的差异化因素。软件正在推动ACSE的创新:
-自动 人们幻想已久的无人驾驶汽车,如今已成为现实。领先的自动驾驶公司的汽车,已经在公路上驾驶了数百万英里,但是到目前为止,无人驾驶汽车还是无法摆脱需要有人类在方向盘的后方,以防止危险的发生。在现场测试中,脱离接触率(即驾驶员需要控制汽车的频率)正在迅速下降,在未来几年内就可以实现全自动汽车驾驶。虽然自动驾驶汽车具有很大的优势,但它也存在黑客干扰转向或刹车的风险。而这类事件会加剧人们对自动驾驶汽车恐惧,并导致整个技术面临危险。
-连接 汽车变得越来越有连接性。如今,通过网络链接,汽车能够实现的服务范围越来越大,比如,发送目的地地址到车辆,接收实时交通信息,以及通过智能手机应用程序远程停车。但是,汽车的网联化也正是黑客入侵整个车队的潜在媒介,这是每个OEM的噩梦。
-电动 电动车的兴起始于几年前,随着电动车行驶里程的增加和价格的下降,电动车对消费者的吸引力越来越大。电汽车的赛道上的竞争越发激烈,面对初创型企业的迅速崛起,几乎所有现有的OEM制造商都已开始将电动车纳入其产品组合。电动车本身并没有传统汽车容易受到破坏,但充电基础设施的破坏会产生严重影响,例如停电,火灾。
-共享 在网联化的推动下,新的商业交通模式已经变得可行,例如共享汽车和叫车服务。出行趋势已从私家车转向共享汽车,这大大提高了车辆利用率。这一趋势要求对用户数据进行全面保护,敏感数据的泄露可能会导致对商业模式的极大不信任。
如果你深入了解智能网联汽车,你会发现有三种类型的软件将推动ASCE的创新:
-车载服务:在车辆内部的电子控制单元(ECU)或域控制单元(DCUs)上运行的所有软件
-OEM的后端服务:为车辆和用户提供云服务
-基础设施和第三方服务:车辆和基础设施之间的软件连接,例如汽油/充电、停车、保险。
为了增强客户体验,增加现代汽车的价值,汽车行业正在加大投资这些类型的软件,以推动软件的创新。同时,OEM还必须从初期就构建汽车网络安全,避免所设计的数字平台和车辆遭到黑客的轻易入侵。
每一行代码都会给现代汽车带来网络风险,安全研究人员已经证明了其影响,并验证了网络入侵所带来的成本花费
这几年里,现代汽车已经成为车辆的数据中心,将现代的网联汽车中的代码行与飞机和PC进行比较,保护这些车辆所面临的挑战是显而易见的。今天的汽车有多达150个ECU和大约1亿行代码;研究者们预计,到2030年,汽车将拥有大约3亿行软件代码。从这个角度来看,一架客机约有1500万行代码,一架现代战斗机大约有2500万条代码,市面上大多的PC操作系统接近4000万条。如此繁杂的软件代码,是过去35年来以特定方式设计电子系统的遗产,还是智能网联汽车和自动驾驶汽车对系统日益增长的要求和日益复杂的结果。大量的代码为网络攻击创造了充足的机会——这不仅是对汽车本身而言,对整个汽车生态系统中的所有组件(例如,后端、基础设施)来说也是如此。
过去几年,随着安全研究人员发现各种技术漏洞,智能网联汽车的网络风险已变得显而易见。在此情况下,“攻击者”并没有恶意地利用漏洞,而是向OEM披露危险信息,在恶意攻击者利用漏洞造成实际伤害之前,帮助OEM修复这些问题。表1列出了最近报告的一些漏洞。
表1
在意识到漏洞之后,OEM会去修复漏洞,并为车主们提供软件更新服务。但是,由于受影响的汽车型号都不一样,其E / E架构以及OEM通过传送提供软件更新的能力,某些软件更新需要访问经销商,从而导致汽车制造商的需要花费更高的成本去解决漏洞修复的问题。
汽车网络安全在未来获得市场准入和类型审批时是必须的
汽车行业与金融服务、能源和电信等其他行业不同,迄今为止,汽车网络安全尚未受到监管。随着UNECE WP.29汽车网络安全和软件更新法规的出台,这种情况将发生改变。
在这一框架下,欧洲经委会成员国的OEM(请参见表2)将需要提供充分的证据,以证实汽车从开发到后期生产,都有严格的网络风险管理实践。其中包括了部署OTA软件的能力,即使在汽车出售后也能进行安全修复。中国和美国等其他国家迄今为止还没有出台类似的法规,只发布了指导方针和最佳做法。我们期望新的联合国欧洲经委会条例能成为一个事实上的标准,甚至超越其成员国所发布的条例。
仅从当今仅受UNECE WP.29监管的乘用车市场销量来看,新法规将可能影响全球售出的2000多万辆汽车。这还不包括商用车或UNECE WP.29管制的任何其他类型的机动车。
表2
UNECE在规范汽车网络安全方面的作用是什么?
世界车辆法规协调论坛(WP.29)是联合国欧洲经济委员会(UNECE)机构框架内的全球性法规论坛。它基于1958年,1997年和1998年通过的三项联合国协议,在全球60多个市场中建立了有关机动车和机动车设备的监管工具。
在撰写本文时,欧洲经委会正在为两项新的联合国法规起草提案。第一条法规是关于汽车网络安全和网络安全管理系统中有关车辆批准的统一规定。
第二项法规是关于车辆软件更新过程和软件更新管理系统的。涉及汽车网络安全和软件更新。为了便于阅读,在本报告中,我们将这两项法规都称为UNECE WP.29法规。
一旦该建议被UNECE接受并且其成员国采用了法规,OEM将必须实施特定的汽车网络安全和软件更新做法以及车辆类型批准的功能,如此一来,使汽车网络安全成为未来车辆不可或缺的组成部分。
2.0 汽车行业正在重新考虑整个价值链中的汽车网络安全
在现代汽车的整个数字化生命周期中,要想获得汽车网络安全,就需要价值链上的多方努力。
说到底,OEM还是要对自己的车辆进行认证的,证明其遵守法规和强制性法律要求。然而,由于OEM从供应商和半导体制造商处采购了很大一部分车辆部件,其上游价值链合作伙伴也将被要求遵循和实施最新的实践,以降低汽车网络安全风险,并生产出设计安全的车辆。这些合作伙伴必须提供遵守法规的证据,来获得OEM的采购批准,这是OEM的责任。纵观UNECE WP.29《网络安全和软件升级条例》的现行草案,价值链受到四个方面的影响(见图3):
-网络风险管理。汽车制造商必须确保贯彻网络风险管理,并识别其车辆类型(以及可能影响车辆安全的相邻生态系统组件)中的相关网络风险,采取相应措施减轻此类风险。除此之外,还要求对不断变化的威胁作出反应。
-汽车网络安全设计。OEM必须通过采用硬件和软件工程的最新实践,从第一步开始开发安全车辆,并确保车辆类型(以及可能影响车辆安全或安保的相邻生态系统组件)的设计、制造和测试,以防出现安全问题,适当降低网络风险。虽说OEM是最终负责汽车网络安全的一方,但在价值链中的所有参与者都需要做出贡献。
-检测和响应。在车辆和相邻生态系统组件(如后端或第三方服务)中,车辆制造商必须能够检测到可能影响车辆安全的技术漏洞和安全问题(如网络攻击)。
-安全可靠的更新。汽车制造商必须能够对任何检测到的安全事件做出响应,及时提供软件更新来修复安全问题。为此,他们必须系统地识别要更新的目标车辆,确保软件更新不会损害经过认证的安全相关系统,同时还要考虑到软件与车辆的配置兼容。
图3
如今,汽车行业中已经存在一些惯例,但是,即将出台的法规、更高级别的强制执行力以及潜在的责任影响将打破这些管理,它们要求汽车价值链上的各方就彼此的确切期望达成更明确的协议。为了坚持这一更高水平的严格性,我们也对汽车制造商有了更多的期待,比如:
-明确汽车网络安全(不仅仅是企业汽车网络安全)的角色和责任,并在参与者之间建立汽车网络安全的接口和联系点
-在合同协议中商定一套最低限度的网络风险管理和汽车网络安全实践,并得出可测量的服务水平,类似于车辆质量其他方面的良好实践(如安全性)
-明确组织、技术和法律(例如IP)先决条件,这些先决条件允许对整个E/E车辆架构甚至单个ECU的车辆软件安全性进行安全测试和认证。
然而,安全性并不仅仅在车辆的生产过程中至关重要,因为在整个车辆生命周期中,安全性都是不可忽视的。它将要求OEM和供应商持续检测并对安全问题做出响应,直到车辆达到其使用寿命,正如我们期望飞机或发动机制造商,在该设备使用者使用时,持续监测其飞机和发动机,以检测和修复任何操作和安全问题。
新标准将提高汽车网络安全的门槛,并允许对汽车公司的安全实践进行独立认证
目前,关于保护车辆硬件和软件的具体技术程序,如电子控制单元的硬件加密或安全通信标准,只有狭义的标准和指南(见图4)。虽然UNECE WP.29《汽车网络安全和软件升级条例》规定了影响价值链上所有汽车参与者的组织框架和最低要求,但并未提供任何有关操作实践的详细指导。
如果你想知道如何实践操作,可以联系牛喀网。
然而,新的ISO/SAE 21434标准“道路车辆-汽车网络安全工程”被行业专家视为第一个标准,该标准规定了从开发到生产到售后的整个车辆生命周期的组织、程序和技术要求。
图4(1/2)
图4(2/2)
同时,ISO/AWI 24089标准“道路车辆-软件更新工程”也正在开发中。该标准并不是专门提供给汽车网络安全的,第一份草案预计还需要一些时间完成。
这些标准还将允许对这些实践的遵守情况进行评估,并由第三方进行证明,行业参与者之间可使用这些条例来证明自己遵守标准,例如,OEM和供应商之间的合同。安全实践的独立认证将为审计、检查和认证公司创造一个不断增长的市场。法律专家认为,在与汽车网络安全相关的车辆纠纷案件中,这些标准将是纠纷和责任问题的基础。
我们需要更先进的技能和更多的人才,来保护现在汽车中的硬件和软件,以实现真正的安全设计方法
其他行业已经开发了安全软件开发的最佳实践,包括领先的技术公司、航空航天和国防公司以及关键基础设施公司。OEM和所有其他汽车制造商可以根据这些最佳做法,与即将到来的汽车行业标准相结合,以开发整个开发周期所需的新功能,而不仅仅是硬件和软件开发(见图5)。
图5
-需求:定义需求,以便将汽车网络安全构建到系统设计中,并测试硬件和软件的安全性。
-系统设计:定义数据的可信度、完整性和可用性的要求,并根据这些要求设计系统。
-组件设计:分析软件组件的安全需求并进行相应的设计。
-硬件/软件开发:将安全要求落实到硬件和软件中。
-单元测试:使用软件单元验证、软件集成测试和软件鉴定测试来测试安全需求的正确实施。
-集成测试:执行系统集成和系统鉴定测试,以确保汽车网络安全要求的正确实施。
-系统测试:根据标准目录(例如UNECE)对需求实现进行验收测试。
在很多情况下,开发周期中的新功能和汽车网络安全需求将需要对现有员工进行大量的重新培训来提高技能。技能要求的提高也反映在市场上(详见下一篇),我们看到各种新产品和服务都需要新技能。
除了上述之外,许多其他领域也需要提高技能。例如:
-安全零部件的采购需要更具有协作性的方法,以便与机械零部件(如底盘、动力系统或电池)的采购能够更加协调,在这些零部件中可以预先详细说明具体的规格。虽然安全组件的规范可以在设计阶段制定出来,但是在整个开发周期中可以进行调整。由于汽车网络安全的高度复杂性,与采购物理部件或普通软件相比,评估供应商,尤其是能力,将变得更加具有挑战性。
-项目管理层必须认真对待设计中的安全问题,并将与汽车网络安全相关的活动和产品作为项目的一部分加以考虑,例如,在产品积压工作中优先考虑汽车网络安全。
-经销商作为汽车客户的第一线,需要进行汽车网络安全事务沟通(例如,当新闻中有关于易受攻击的汽车或最近受攻击事件的报告时),必须能够协助汽车网络安全相关的维护活动,例如在无法获得OTA更新时部署软件更新。
-与客户保持沟通,需要传达与汽车网络安全相关的问题,比如解决公众对汽车易受网络攻击的担忧,或者在汽车网络安全事件发生时,承担维护外部通信的艰巨任务。
在航空业,一些使用者已经积累了新的技能来满足他们的汽车网络安全需求。一家领先的航空和国防公司在内部开发了上述所有技能。还建立了SOC来监控其企业It以及OT生产。它甚至向市场提供这些服务,以加强其在汽车网络安全领域的地位和信誉。
- End -
下篇文章,我们将继续以下话题:
3.0 在整个车辆生命周期中,需要新的方法来管理网络风险