說多大就有多大的生意，車輛網(wǎng)絡(luò)安全你準(zhǔn)備好了嗎？

早在 2016 年，三位中國工程師就通過無線電波、聲和光成功“騙過”了特斯拉 Autopilot 系統(tǒng)；今年 2 月，以色列 Negev 大學(xué)的一位博士生利用投影儀將二維人體影像投射在道路上，Model X 便開始減速；10 月，又有以色列研究團(tuán)隊(duì)挑戰(zhàn)包括特斯拉在內(nèi)的 Beta 版交通信號燈和停止標(biāo)志識別功能，結(jié)果是：“只是照亮道路上的物體圖像，或在數(shù)字廣告牌中注入幾幀停止標(biāo)志，汽車就會剎車或可能轉(zhuǎn)彎，這很危險(xiǎn)?！边@樣的案例還有很多，不禁讓人們對未來自動駕駛汽車，更確切說是汽車網(wǎng)絡(luò)安全捏了一把汗。

或許，隨著國際標(biāo)準(zhǔn)化組織（ISO）和國際汽車工程師學(xué)會（SAE International）起草的一份標(biāo)準(zhǔn)——ISO/SAE 21434《道路車輛 - 網(wǎng)絡(luò)安全工程》發(fā)布，情況將有所改觀。國際社會為定義汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)所做的努力是巨大的，來自世界各地的專家聚集在一起應(yīng)對這一非常嚴(yán)峻的挑戰(zhàn)。預(yù)計(jì)，最終標(biāo)準(zhǔn)將在 2021 年出臺。

讓整個(gè)供應(yīng)鏈?zhǔn)馔就瑲w

該標(biāo)準(zhǔn)草案為確保網(wǎng)絡(luò)安全預(yù)先設(shè)計(jì)到車輛中定義了一個(gè)結(jié)構(gòu)化過程。它為整個(gè)供應(yīng)鏈提供了一種交流和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的通用語言，量化了車輛中不同系統(tǒng)或功能的網(wǎng)絡(luò)風(fēng)險(xiǎn)，從而使相關(guān)公司就降低該風(fēng)險(xiǎn)所需的嚴(yán)格程度達(dá)成一致。避免“公說公有理，婆說婆有理”或“不知所云”的尷尬。

標(biāo)準(zhǔn)草案有 108 頁

ISO/SAE 21434 為汽車公司建立了一個(gè)網(wǎng)絡(luò)安全框架，但并未直接涉及或推動技術(shù)，旨在加強(qiáng)行業(yè)在網(wǎng)絡(luò)安全方面的合作，從而開發(fā)更好地解決當(dāng)今和未來網(wǎng)絡(luò)安全問題的技術(shù)和解決方案。它將有助于工程師在開發(fā)過程的每個(gè)階段和現(xiàn)場考慮網(wǎng)絡(luò)安全問題，創(chuàng)建一個(gè)涵蓋掃描漏洞、增強(qiáng)車輛自身網(wǎng)絡(luò)安全防御能力的檢查表，并對每個(gè)組件的潛在漏洞進(jìn)行風(fēng)險(xiǎn)分析。

新的國際標(biāo)準(zhǔn)將借鑒 SAE 的指導(dǎo)方針，構(gòu)建一個(gè)全面的網(wǎng)絡(luò)安全工具，在全球范圍內(nèi)解決行業(yè)的所有需求和挑戰(zhàn)。它將有助于解決道路車輛電氣和電子（E/E）系統(tǒng)工程中的網(wǎng)絡(luò)安全問題，幫助制造商跟上不斷變化的技術(shù)和網(wǎng)絡(luò)攻擊方法。

數(shù)據(jù)采集今非昔比

SAE 全球地面車輛標(biāo)準(zhǔn)總監(jiān) Jack Pokrzywa 回顧說：“早在 20 世紀(jì) 90 年代初，我們就利用諸如事件數(shù)據(jù)記錄器或汽車‘黑匣子’之類的設(shè)備從汽車上收集到了數(shù)據(jù)，可以發(fā)現(xiàn)車輛碰撞前后的運(yùn)行信息。
?? ?

Jack Pokrzywa

現(xiàn)在的技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)超過了當(dāng)時(shí)。其功能包括捕捉位置、天氣和交通狀況等外部信息；而車內(nèi)傳感器可以收集乘客數(shù)據(jù)，以便在發(fā)生事故時(shí)提供有用的信息。他補(bǔ)充道：“生物特征信息也已不在話下，傳感器還可以跟蹤眼球運(yùn)動，以檢測駕駛員的注意力，從而確定司機(jī)是否在開車時(shí)睡著了?！?/p>

現(xiàn)在的汽車操作系統(tǒng)中連接了很多應(yīng)用程序，例如，可以記錄通過汽車揚(yáng)聲器系統(tǒng)撥打的電話信息。這樣做有利于安全，但也會泄露隱私數(shù)據(jù)。借助互聯(lián)網(wǎng)技術(shù)，汽車不僅可以打電話，還能告訴人們是否駛?cè)肓隋e(cuò)誤的車道，實(shí)時(shí)更新交通狀況，或者告訴我們最近的加油站在哪里。在把我們從 A 點(diǎn)送到 B 點(diǎn)的同時(shí)，一些功能增加了從竊取個(gè)人信息到將你逐出公路的風(fēng)險(xiǎn)。

不斷增加的攻擊點(diǎn)加大了汽車安全威脅

ISO 專家工作組的另一位項(xiàng)目負(fù)責(zé)人 Markus Tschersich 博士警告說，在歐洲等一些司法管轄區(qū)，車輛識別號（VIN）被視為個(gè)人識別信息（PII）?！耙虼?，所有由車輛系統(tǒng)生成并與 VIN 相關(guān)的數(shù)據(jù)都可以解釋為 PII。這些信息可以單獨(dú)或組合起來用于識別、定位或聯(lián)系個(gè)人。例如，從制動、轉(zhuǎn)向系統(tǒng)和其他汽車部件收集的數(shù)據(jù)可用來獲取有關(guān)駕駛員技能和行為的信息?！彼硎荆诋?dāng)今汽車行業(yè)，供應(yīng)鏈的每一步都由高科技軟件指導(dǎo)、監(jiān)控和分析。只要汽車和外部來源有聯(lián)系，就有黑客攻擊的可能性。車輛不僅需要功能安全，更要預(yù)防網(wǎng)絡(luò)攻擊。

Markus Tschersich

不斷增加的內(nèi)部和外部連接，使攻擊正在從單一的 ECU 操作擴(kuò)展到有組織的網(wǎng)絡(luò)范圍的攻擊，其開發(fā)驅(qū)動力來自于各種利益相關(guān)者（所有者、公司、第三方）追求的樂趣、名聲和蓄意破壞。

汽車產(chǎn)品可擴(kuò)展性攻擊趨勢

隨著連接性的進(jìn)步，消費(fèi)者將獲得巨大的利益，因?yàn)樗麄兊能囕v可以通過空中接收更新改進(jìn)功能和增強(qiáng)安全性，與其他車輛或城市基礎(chǔ)設(shè)施通信，或通過用戶界面提供網(wǎng)絡(luò)信息。然而，先進(jìn)的連接需要先進(jìn)的網(wǎng)絡(luò)安全，以保護(hù)駕駛者和其他道路使用者免受潛在的攻擊。這些攻擊可能來自對車輛的物理訪問，甚至通過 Wi-Fi 或藍(lán)牙，而手機(jī)連接意味著攻擊者可能從世界任何地方訪問車輛系統(tǒng)。

汽車行業(yè)對此心知肚明。要完全解決這些風(fēng)險(xiǎn)需要時(shí)間，但首先必須有一個(gè)協(xié)調(diào)的方法來解決這個(gè)不斷增長的市場中的網(wǎng)絡(luò)安全問題。現(xiàn)有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)并不能很好地適應(yīng)特定于汽車的挑戰(zhàn)。在這些挑戰(zhàn)中，車輛安全首當(dāng)其沖，車輛中的技術(shù)具有很長的生命周期，且系統(tǒng)要駐留在嵌入式控制器中。每個(gè) OEM 或供應(yīng)商都必須制定自己的網(wǎng)絡(luò)安全要求。事實(shí)上，甚至沒有一種通用的方法來描述對車輛各種功能的網(wǎng)絡(luò)攻擊所帶來的風(fēng)險(xiǎn)。

這也正是起草 ISO/SAE 21434 的初衷，雖然一個(gè)標(biāo)準(zhǔn)本身并不能使車輛免受網(wǎng)絡(luò)威脅，但它可以為行業(yè)提供工具，以制造出能夠解決風(fēng)險(xiǎn)的產(chǎn)品。

系統(tǒng)和技術(shù)需要安全數(shù)據(jù)、安全網(wǎng)絡(luò)和安全組件

與黑客賽跑

今天的汽車充滿了復(fù)雜的軟件，不遠(yuǎn)的將來會更加復(fù)雜。根據(jù)麥肯錫公司的數(shù)據(jù)，汽車現(xiàn)在有大約 1 億行代碼，而到 2030 年，其數(shù)目將是現(xiàn)在的三倍。一架客機(jī)也不過 1500 萬行代碼，而標(biāo)準(zhǔn) PC 操作系統(tǒng)約 4000 萬行代碼。機(jī)器越復(fù)雜，整個(gè)價(jià)值鏈上遭受網(wǎng)絡(luò)攻擊的機(jī)會就越多。

在各種測試車輛網(wǎng)絡(luò)安全系統(tǒng)穩(wěn)健性的實(shí)驗(yàn)中，“白帽黑客”（即故意侵入系統(tǒng)以測試和評估其安全性的計(jì)算機(jī)安全專家）證明了遠(yuǎn)程控制汽車是可能的。例如，早在 2015 年，他們就證明了可以控制吉普車的剎車和加速系統(tǒng)、儀表盤等，這是一個(gè)可怕的想法。

在另一次對特斯拉的實(shí)驗(yàn)中，計(jì)算機(jī)安全專家成功地欺騙了汽車的自動駕駛軟件，讓車轉(zhuǎn)向進(jìn)入了逆行車道?！捌渌录绮簧婕鞍酌焙诳偷氖录?，也需要以合理的謹(jǐn)慎和關(guān)注來處理，”國際標(biāo)準(zhǔn)化組織專家工作組負(fù)責(zé)道路車輛電氣和電子部件網(wǎng)絡(luò)安全 WG11 的項(xiàng)目負(fù)責(zé)人 Scharfenberger Fabian 博士說。

隨著技術(shù)越來越深入地融入汽車，汽車工業(yè)正面臨著艱巨的任務(wù)——保護(hù)全球汽車基礎(chǔ)設(shè)施，不受那些想要竊取數(shù)據(jù)并控制自動化系統(tǒng)，以達(dá)到惡意目的的網(wǎng)絡(luò)罪犯控制。他說：“網(wǎng)絡(luò)安全措施需要從系統(tǒng)生成開始進(jìn)行調(diào)整，而且需要通過更新在現(xiàn)場系統(tǒng)中不斷調(diào)整。這是一個(gè)永無止境的挑戰(zhàn)?！?/p>

Jack Pokrzywa 也指出，任何運(yùn)行在軟件上的設(shè)備都可能遭到黑客攻擊。要解決這些問題，就需要行業(yè)內(nèi)，特別是 OEM 及其供應(yīng)鏈之間的高度知識共享。美國的汽車信息共享和分析中心（Auto-ISAC）就是這樣的組織。行業(yè)成員共享和分析有關(guān)車輛可能面臨的任何風(fēng)險(xiǎn)的信息，從而有助于加強(qiáng)網(wǎng)絡(luò)安全技術(shù)。但是，“還需要一個(gè)全球性的整體方法?！?/p>

用整體方法解決汽車安全問題

需要全球行動

Scharfenberger Fabian 博士說，將供應(yīng)鏈上的流程和方法作為汽車系統(tǒng)工程中考慮網(wǎng)絡(luò)安全的基礎(chǔ)至關(guān)重要。“有許多既定的 IT 安全國際標(biāo)準(zhǔn)（如 ISO/IEC 27xxx 系列）或行業(yè)特定的安全標(biāo)準(zhǔn)（如針對工業(yè)控制系統(tǒng)的 IEC 62443 系列），但并不能滿足汽車行業(yè)的特定需求，”他說。

早在 2015 年，SAE 就成立了車輛網(wǎng)絡(luò)安全系統(tǒng)工程委員會（Vehicle Cybersecurity Systems Engineering Committee），以應(yīng)對美國市場上的相關(guān)威脅和漏洞。一年后，該委員會發(fā)布了 SAE J3061《網(wǎng)絡(luò)物理車輛系統(tǒng)網(wǎng)絡(luò)安全指南》，定義了一個(gè)完整的生命周期過程框架，將網(wǎng)絡(luò)安全納入網(wǎng)絡(luò)物理車輛系統(tǒng)中，涵蓋了從概念階段到生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢的整個(gè)過程。

一切為了安全

與 ISO 26262 有何不同？

ISO/SAE 21434 標(biāo)準(zhǔn)草案基于兩個(gè)主要因素來衡量風(fēng)險(xiǎn)：攻擊發(fā)生的可能性和威脅實(shí)現(xiàn)時(shí)的影響。該標(biāo)準(zhǔn)還引入了網(wǎng)絡(luò)安全保證級別（CAL）的概念，它可以解釋一個(gè)系統(tǒng)必須受到多大程度的保護(hù)以防受到攻擊?；?CAL，一個(gè)組織會相應(yīng)地?cái)U(kuò)展其網(wǎng)絡(luò)安全活動，也就是說，應(yīng)根據(jù) CAL 使用或多或少的嚴(yán)格性。CAL 和風(fēng)險(xiǎn)有聯(lián)系，但不一樣，需要區(qū)分 CAL 和動態(tài)風(fēng)險(xiǎn)因素（使 CAL 盡可能保持穩(wěn)定）。

CAL 與其他概念的關(guān)系

這一理念與 ISO 26262 中針對功能安全規(guī)定的汽車安全完整性等級（ASIL）類似，ASIL 意在處理特定汽車系統(tǒng)的故障風(fēng)險(xiǎn)。事實(shí)上，在評估安全風(fēng)險(xiǎn)時(shí)，新標(biāo)準(zhǔn)也指出，影響程度必須根據(jù) ISO 26262 等級進(jìn)行評估。

兩者的關(guān)鍵區(qū)別在哪里呢？
·在于從動態(tài)角度考慮風(fēng)險(xiǎn)：網(wǎng)絡(luò)攻擊的可行性會隨著時(shí)間的推移而改變。一個(gè)系統(tǒng)可能在某一天不受攻擊，但第二天就可能癱瘓了。

·標(biāo)準(zhǔn)草案的第二個(gè)主要部分列出了在產(chǎn)品生命周期內(nèi)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的最佳實(shí)踐。從一開始的設(shè)計(jì)、開發(fā)到制造，網(wǎng)絡(luò)安全就必須融入到公司流程中。最佳實(shí)踐還包括車輛在現(xiàn)場時(shí)暴露漏洞的情況，同時(shí)還規(guī)定了當(dāng)車輛報(bào)廢或出售時(shí)要采取的行動，例如，清除系統(tǒng)中可能仍然存在的所有個(gè)人數(shù)據(jù)。

標(biāo)準(zhǔn)草案不會規(guī)定具體的網(wǎng)絡(luò)安全技術(shù)或解決方案。只要我們能以一種共同的方式討論我們所面臨的挑戰(zhàn)，各個(gè)公司就可以在其用來應(yīng)對這些挑戰(zhàn)的技術(shù)和方案上各顯神通。

機(jī)會才剛剛顯現(xiàn)

那么，機(jī)會來了！隨著世界的聯(lián)系越來越緊密，我們的汽車也不例外。但更大的連通性使汽車工程網(wǎng)絡(luò)安全成為了一個(gè)風(fēng)起云涌的行業(yè)。對黑客的這場戰(zhàn)斗還遠(yuǎn)未打贏，因此，需要大量的裝備和彈藥！

網(wǎng)絡(luò)安全是個(gè)大生意，尤其是在車輛方面。對全球汽車網(wǎng)絡(luò)安全市場價(jià)值的各種估計(jì)表明，到 2025 年，全球汽車網(wǎng)絡(luò)安全市場將從 2019 年的 24 億美元增長到約 60 億美元。但是，盡管這個(gè)行業(yè)蒸蒸日上，面對黑客攻擊的戰(zhàn)爭才剛剛開始。

標(biāo)準(zhǔn)畢竟只是標(biāo)準(zhǔn)

對于一個(gè)習(xí)慣于分解復(fù)雜挑戰(zhàn)和標(biāo)準(zhǔn)化響應(yīng)的行業(yè)來說，網(wǎng)絡(luò)安全仍然是一個(gè)不規(guī)范的反?，F(xiàn)象。那么，《標(biāo)準(zhǔn)》能保證真正的網(wǎng)絡(luò)安全嗎？Markus Tschersich 博士一聲嘆息：“唉，沒有所謂的‘安全技術(shù)’可以被標(biāo)準(zhǔn)化?！彼f：“所以，僅僅遵循 ISO/SAE 21434 并不能使汽車安全。但其中所述的流程無疑可以為良好的網(wǎng)絡(luò)安全工程奠定基礎(chǔ)，并有助于加強(qiáng)合作?！?/p>

因?yàn)?，《?biāo)準(zhǔn)》包括了對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評估，還有識別和協(xié)調(diào)系統(tǒng)網(wǎng)絡(luò)安全解決方案，以及在供應(yīng)鏈上進(jìn)行溝通的方法，其中包括道路車輛電氣和電子系統(tǒng)（包括其部件和接口）的概念、開發(fā)、生產(chǎn)、操作、維護(hù)和報(bào)廢。

還沒有結(jié)束

人們對標(biāo)準(zhǔn)草案的興趣極高。聯(lián)合國歐洲經(jīng)濟(jì)委員會第 29 工作組引用 ISO/SAE 21434 作為滿足歐洲法規(guī)（現(xiàn)在標(biāo)記為 UN-1R55）要求車輛具有網(wǎng)絡(luò)安全管理系統(tǒng)的方法。這些要求已獲批準(zhǔn)，并將于 2022 年夏季在歐盟具有約束力。

現(xiàn)在，OEM 必須將網(wǎng)絡(luò)安全視為其核心業(yè)務(wù)職能和研發(fā)工作的組成部分，并要求其供應(yīng)商確保符合標(biāo)準(zhǔn)，最終將推動整個(gè)行業(yè)的采用。各國政府也有可能推動 ISO/SAE 21434，監(jiān)督其采用和有效性。

Jack Pokrzywa 說：“我不認(rèn)為我們能阻止破壞系統(tǒng)的企圖，但通過提高安全壁壘，我們當(dāng)然可以降低風(fēng)險(xiǎn)?！边@也將控制開發(fā)和維護(hù)成本，對所有行業(yè)參與者來說都是雙贏。

除了 ISO/SAE 21434，汽車行業(yè)還將繼續(xù)制定通用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，以確?？晒芾淼亩说蕉税踩鉀Q方案，包括即將出臺的網(wǎng)絡(luò)安全工程審計(jì)標(biāo)準(zhǔn)。這項(xiàng)工作才剛剛開始，由于汽車行業(yè)力圖在汽車生產(chǎn)過程的每一步都確保汽車系統(tǒng)的安全，將使我們駕駛的汽車越來越安全，安全的車輪也將繼續(xù)滾滾向前。
?