据盖世汽车1月26日讯,一位19岁的网络安全研究员通过第三方漏洞远程侵入了数量特斯拉汽车,而且他还获得了车主的电子邮箱,并通知他们正面临着风险。据相关人员透露包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田、蒂森克虏伯和大众在内的100多家汽车制造商的敏感文件被公布在一个隶属Level One Robotics可公开访问的服务器上,车企、厂商、用户的信息每天都承担着被黑客攻击的风险。其实在看似风平浪静的汽车江湖,一直都承担着维护信息安全的压力。
汽车具有多达150个ECU和大约1亿行代码,并且这一数字随着汽车智能网联的发展正在不断膨胀,而大众市场PC操作系统却不到4000万行代码,在如此悬殊的对比之下,汽车的信息安全隐患正在不断显现。而随着电子电气化架构的演进与智能网联汽车的发展,依靠人工智能、视觉计算、雷达、监控装置和全球定位系统协同合作的自动驾驶与智能座舱系统收集了更多用户的个人信息。据工信部网安局发布数据显示,近年整车企业车联网信息服务商等相关企业和平台的恶意攻击达到280余万次,85%的关键部件存在安全漏洞,80%以上的车网联平台和APP存在身份认证、数据信息泄露隐患,近六成企业缺乏自动化网络安全监测和响应能力。
更严重的是若有人利用机载系统内的漏洞来控制车机或是禁用重要的安全功能,乘坐智能汽车或是在智能汽车附近的人都将会面临信息泄露的危险甚至是生命安全的威胁;那些依赖连接车辆运输货物或材料的供应链组织将面临运营中断的风险;主机厂将面临声誉方面的损失;维护系统的供应商将面临迫切需要执行软件和硬件更新的压力。
那么这将对主机厂、供应商、用户全产业链带来恶劣的影响,信息安全的问题已经迫在眉睫,如果没有智能汽车网络安全就没有智能汽车。
黑客,图片来源:techxplore.com
后知后觉的主机厂
大多数主机厂在传统汽车安全领域已经有了多年积累,使得车辆本身的安全性能达到了一定的水平,但在信息安全方面,主机厂做得还远远不够。过去在造车时,主机厂更多是将汽车定义为一个产品,车辆的通用构架往往局限于一个密闭的场景,因而缺少对信息安全防护的考虑。随着需求与科技的驱动,汽车从原来主机厂提供的产品变为为用户带去的一种个性化的服务,而在此时在信息安全上的不足也就被充分暴露了出来。
在车辆信息安全领域,自2016年起汽车开始陆续出现黑客攻击事件后,大部分主机厂才开始意识到信息安全问题,并开始采取行动,布局汽车信息安全板块。但与此同时,智能网联的大潮澎湃而来,主机厂为了追求车辆网联化,直接将现有架构直接接入互联网中,让原本封闭系统中的安全漏洞完全暴露在互联网中,成为被攻击的目标。
早在2015年7月,两位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克曾入侵了一辆Jeep自由光的车载系统,通过软件远程向该系统发送指令,启动了车上的各种功能。可以试想一下,如果用户正在驾驶被黑客攻击的智能网联汽车,黑客可以远程操控汽车的转向、制动等等功能,用户信息安全被侵害的同时,生命安全也受到了威胁。
究其本质车内信息系统非常复杂,车辆信息安全涉及到云端、管端和车内三个系统,在汽车APP终端、用户数据安全、通讯安全、服务器、车载娱乐系统、AVN视听导航设备、AST80加密系统等相关领域都有信息被攻击的风险。当智能网联汽车让交互方式呈现出多样化和互联网化,随着“人”这个更为复杂主体的加入,给车内交互系统为车辆信息安全带来更大的挑战,也让车内信息安全的维护难度不断加大。
综上可以发现,主机厂由于传统观念与产品定位的限制,对于信息安全的防护本就起步晚、底子薄,刚刚准备布局信息安全领域又遇到了汽车智能网联化的浪潮,这让本就处于劣势的汽车信息安全系统又面临更加严峻的困难与挑战。
图片来源:凤凰网
充满挑战的产业链
不可否认在行业内越发意识到维护信息安全重要性的同时,主机厂却在此时因为自身与大环境的问题,无法承担起这番重责大任。那么将目光投向全产业链的信息安全系统供应商们身上。此时行业内发现车辆信息系统大多是国外软件供应商,这就产生了一个问题,因为这些软件供应商不可能提供源代码,所以这为国内相关企业进行信息系统安全防护带来了不少麻烦,也掣肘了国内相关企业提升汽车信息安全性。
不仅信息安全系统需要突破,要实现车辆信息安全,在监管方面也是必不可少的。首先要建立基于深度学习等技术的智能异常流量监测机制,提升汽车网络安全防护能力;其次需要研究基于5G认证框架的通信加密算法,构建可信的“人-车-路-云”协同通信;并且还需要加强异常强干扰监测定位技术的研究,实现对卫星导航等系统的异常干扰源位置的协同定位。
维护信息安全被不断提及,但是据智联招聘调查,我国近年高校教育培养的信息安全专业人才仅5万余人,而信息安全相关人才总需求则超过100万人,缺口高达95%,并且这一需求每年都在成倍增长,人才短缺的问题也成为了掣肘行业发展的又一重要因素。
通过这些原因我们可以发现,车辆信息安全的构架,单凭主机厂或是供应商之力是无法实现的。在技术、监管、人才的多重影响之下,汽车信息安全系统在产业链内产生失位,由于主机厂与供应商之间的角色定位不清晰,导致在很长一段时间内,汽车信息安全系统都处在摸着石头过河的阶段,存在着极大的泄露风险。
图片来源:为辰信安
完善,政策法规的跟进
国内在2021年也陆续出台了诸多法律法规和政策来引导汽车信息安全的发展。2021年9月1日《数据安全法》和《关键基础设施安全保护条例》发布实施、2021年10月1日《汽车数据安全管理若干规定》发布实施、2021年11月1日《个人信息保护法》发布等。在政策层面,工信部也出台了一系列政策指导文件,如《智能网联汽车生产企业及产品准入管理指南(试行)》、《智能网联汽车道路测试与示范应用管理规范(试行)》等等。其指出:通信安全标准包括车内通信、V2X通信安全要求、智能通信网关安全要求和测试方法等,针对车辆及车载系统通信、数据、软硬件安全方面提出防护要求。
在标准层面,强标《GB 汽车整车信息安全技术要求》和《GB 汽车软件升级通用技术要求》也将于2022年出台。国家有关部门、第三方机构包括汽标委等部分在加快标准制定的过程中,各大汽车厂商、供应商、安全公司也在不断贡献自己的智慧和能力,业内专家普遍认为,2025年前,我国汽车信息安全方面的标准体系建设有望得到快速推进。
维护,多方合作筑安全长城
就信息安全而言,其中有诸多具有共性的方面,所以针对不同车辆信息系统的共性研究,就可以发现更多漏洞并寻求解决办法,可以帮助不同的车辆整体提升信息安全性,这也是汽车信息安全提升的必要举措。目前,国内汽车信息安全领域出现的共性技术研究是提升我国汽车信息安全领域的重要手段。
图片来源:东疆港区
2019年12月奔驰宣布与国内网络安全领军企业360携手修复了19个奔驰智能网联汽车有关的潜在漏洞,打开了主机厂与科技公司合作共建信息安全的先河。业内越发意识到汽车信息安全防护墙的建设需要主机厂、供应商和互联网公司的共同联手合作,单靠任何一方都很难提升汽车信息系统的安全性。
当多方合作不断突破后,主机厂将对零部件的信息安全质量把控能力不断提升,其用于约束零部件供应商的安全标准与内部的安全验证、测试能力也将不断更新。2018年,奇瑞携手百度,共建Apollo汽车信息安全实验室。2020年,长城汽车与国家互联网应急响应中心、奇虎360、百度安全实验室、中汽中心建立合作伙伴关系,开展信息安全技术研究,提高整车信息安全防护水平。此外,一汽、上汽、吉利、长安、东风等国内具有代表性的主机厂正在通过多方合作打造其信息安全系统,随着智能网联汽车的不断落地,这些系统也将越发占据重要地位。
目前行业内上海磐起信息科技有限公司、维克多、揽阁信息科技、新思科技等公司正在基于密码算法的安全防护技术不断突破;吉大正元、信长城、格尔软件、天诚安信等公司深耕于PKI技术的安全认证技术;EB、瓶钵、爱加密、梆梆安全、几维安全正在不断打破智能网联汽车信息安全之加固技术(T-box/IVI/app)边界;在智能汽车网络安全测试技术上,是德科技、德斯拜思、开源网安、东软、ETAS、为辰信安等企业也颇具发言权。
总体而言,要全面做好数据防泄密需求还是需要花费许多功夫。各大公司提供的信息安全解决方案,在安全策略管理、配置管理、安全能力管理、安全日志管理等与特定安全应用等功能上各显神通,其涵盖数据安全、移动安全、云安全存储、加密应用及敏感信息防护等方面安全产品。
为充分应对车辆信息安全挑战,盖世汽车将于2022年3月17-18日举办2022中国汽车信息安全与功能安全大会,了解产业趋势,明确发展方向。