楠木軒

行業“三滯後”、企業“三缺乏”,車聯網信息安全大門易攻難守?

由 納喇曉枝 發佈於 科技

本文轉自【中國汽車報網】;

前不久,風頭正勁的特斯拉又一次成為輿論焦點。不過,這一次可不是發生了什麼好事情。據外媒報道,原來特斯拉遭遇完全的網絡中斷,公司內部系統宕機,手機APP和內部系統無法連接汽車。在系統出現宕機後,特斯拉員工無法處理訂單和車輛交付工作;特斯拉的能源產品也受到這次故障的影響,太陽能和Powerwall儲能電池用户無法監控系統;特斯拉官網主頁之外的頁面一度無法訪問。市場分析認為,正是這一事故導致該公司當日股價暴跌。

事實上,隨着智能網聯技術的發展,汽車網絡安全正面臨越來越嚴峻的考驗,我國車聯網也曝出不少安全隱患。網絡安全風險凸顯的背後,加快構建車聯網安全體系的緊迫性越來越高。

■去年網絡安全導致汽車安全事件佔比57%

最近,在工業和信息化部網絡安全管理局的指導下,由中國汽車技術研究中心牽頭編制的《車聯網網絡安全白皮書(2020年)》(以下簡稱“《白皮書》”)公佈。《白皮書》顯示,隨着我國智能網聯汽車滲透率逐漸升高,網絡安全事件頻發,僅2019年網絡安全問題導致的汽車安全事件佔比高達57%。目前,我國車聯網統一技術平台建設尚處起步階段,不能提供可靠的安全保障,配套網絡安全政策法規、標準研究制定等工作仍需加快推進。

據介紹,相較於2019車聯網信息安全十大風險,2020年的十大風險中,“不安全的生態接口”仍處於首位,佔比約25%;“系統固件可被提取及逆向”由第6名上升到第5名,佔比約10%;“存在已知漏洞的組件”由第7名上升到第6名,佔比約9%;“車載網絡未做安全隔離”由第5名下降到第7名,佔比約7%。

《車聯網網絡安全檢測評估報告》則結合“硬性”設備測試評估結果,與“軟性”企業管理調研情況,梳理車聯網網絡安全設備共性隱患、企業管理通病,剖析總結車聯網網絡安全行業需求痛點,簡稱為“行業三滯後、企業三缺乏”。“三滯後”是指行業監督管理滯後,企業缺乏合規動力;行業標準體系滯後,企業缺乏標準指導;行業漏洞管理滯後,企業缺乏共享渠道。“三缺乏”則是指部分小型企業因規模與成本受限,雖有漏洞在身,但無能力修復,需要依託大型企業投入科研與資本,承擔行業責任,解決共性問題,形成行業發展聯盟,搭建行業共享平台,共同解決風險隱患。

■今年以來對車聯網的惡意攻擊達280萬餘次

在今年9月召開的2020中國汽車產業發展(泰達)國際論壇上,工信部網絡安全管理局局長趙志國透露,根據去年的專項調研結果,85%的(車聯網)關鍵部件存在安全漏洞,80%以上的車聯網平台和APP存在缺乏身份鑑別、數據明文重組等隱患,近六成企業缺乏自動化的網絡安全監測響應能力。他還介紹稱,從車聯網動態監測情況看,網絡攻擊向車聯網領域延伸,今年以來對整車企業、車聯網信息服務提供商等相關企業和平台的惡意攻擊,達到280萬餘次,平台的漏洞、通信的劫持、隱私泄露等風險十分嚴重。

據瞭解,車輛端、通信安全、基礎設施等方面都存在一定的車聯網安全風險。中國汽車工程研究院股份有限公司特聘專家鄭光偉在接受《中國汽車報》記者採訪時表示,從車輛和車主層面看,企業對車主信息的保護重視不夠,有些甚至處於完全空白的狀態。而隨着汽車智能化、網聯化的發展,一些車主信息包括社交賬號、銀行賬號等,可以通過車聯網傳輸到雲端,如果車企缺乏對這些信息的安全性保護,很容易發生泄露。目前,這類問題比較普遍,大多數企業未能及時建立有效的措施,加強相關信息的安全管理。此外,黑客通過車聯網進行惡意攻擊,進行車輛遠程操控等的安全風險更大。同時,在行業管理層面,一些外資品牌車型的車聯網信息,如攝像頭等傳感器採集的道路信息等,很可能因缺乏監管或監管不到位而流出。“利用這些數據,國外一些機構無需測繪就能掌握我國高精度地圖,安全風險極大。”他認為,在雲端安全方面,除阿里、騰訊這些專業的互聯網公司外,我國車聯網產業鏈上的其他主體,尤其車企對網絡安全問題的重視還遠遠不夠。

中汽數據有限公司智能業務本部副總監張亞楠也表示,車聯網信息安全與傳統互聯網信息安全類似,通常採用端口掃描、漏洞挖掘、逆向破解等綜合技術手段,洞察車聯網所面臨的的信息安全威脅,進而利用已知的安全漏洞進行網絡攻擊。在車聯網領域,汽車受到的信息安全威脅來自方方面面,比如雲端受到服務中斷、未授權訪問等威脅;路側單元端受到通信劫持、通信干擾等威脅,車車通訊受到車輛偽造、數據盜取、通訊中斷等威脅;車端受到拒絕服務、協議逆向、軟件逆向、固件解密等威脅。

■標準指南將出台管理體系不斷健全

“對於車企而言,車聯網安全是一個全新的領域,它們甚至不知道怎麼防控聯網數據的泄露。隨着技術和市場的發展,企業在車聯網安全方面的構建,無論是體系的打造還是人才的儲備,都應該有所提升。”鄭光偉表示。

去年3月,汽標委智能網聯汽車分標委提交的4項有關汽車信息安全的推薦性國家標準項目獲批立項,分別是《汽車信息安全通用技術要求》(計劃號20191065-T-339);《電動汽車遠程服務與管理系統信息安全技術要求》(計劃號20191066-T-339);《車載信息交互系統信息安全技術要求》(計劃號20191069-T-339);《汽車網關信息安全技術要求》(計劃號20191070-T-339)。

另據瞭解,今年1月,受工信部網絡安全管理局委託,中國信息通信研究院(以下簡稱“中國信通院”)組建專項團隊支持推進車聯網(智能網聯汽車)網絡安全相關指南文件的編制。2019年12月25日,中國信通院組織召開專題研討會,就車聯網網絡安全防護指南(草案)、車聯網數據分類分級及合規應用指南(草案)徵求專家意見。中國信息通信研究院安全研究所副所長林美玉透露,《車聯網網絡安全標準體系》正在加快構建,預計今年內對外發布。

趙志國強調,應着力探索建立車聯網產業鏈企業網絡安全分級分類管理模式,明確各類企業安全的要求,提升指導、提升企業的網絡安全水平,着力解決整車企業網絡安全意識不強的問題,指導企業建立健全內部網絡安全的管理體系,打造整車企業網絡安全綜合集成創新和服務保障的能力。據悉,一方面,工信部將重點針對車聯網的平台、車載關鍵設備、遠程服務應用,積極構建企業自檢測、第三方測評、政府監督相互協同的網絡安全監測認證評估體系,提升車聯網關鍵設備和關鍵環節的安全水平;另一方面,還將以產業安全發展需求為落腳點,加強車聯網安全政策的供給,完善危險監測、信息共享、監督檢查、協同處置的閉環管理機制,積極打造安全監管的服務生態。

張亞楠表示,在企業層面,整車企業為安全第一責任人。參照互聯網領域信息安全“三分靠技術、七分靠管理”的治理經驗,車企應通過構建管理體系的方式來規範研發流程,提供資源保障,管理安全風險,並在產品研發設計之初即將信息安全納入考量,實現以全鏈條、反饋閉環、事前預防的形式應對信息安全問題,達到主動防禦的目的;在汽車產品層面,則着重從技術手段出發,保障車端和鏈接端的安全,其中,風險評估、安全防護技術的應用都是關鍵環節,由於每個車企設計的車型架構不盡相同,整車級信息安全防護需要做整體的規劃和設定;此外,開展安全驗證活動也是有效的風險防範措施,利用黑盒測試、白盒測試、灰盒測試等方法,藉助漏洞掃描、滲透測試、模糊測試、策略驗證測試等驗證技術,實現對汽車產品的信息安全驗證,驗證產品是否符合安全要求與安全質量標準。