欢迎光临第五届中国汽车网络信息安全峰会2020!

网络安全竞赛:在新法规时代保护互联汽车

发布日期:2019-12-02

作者: Johannes Deichmann, Benjamin Klein, Gundbert Scherf, and Rupert Stuetzle


汽车行业的数字化转型面临着新的网络安全威胁。 了解OEM可以采取哪些措施来保护其汽车和客户免受黑客攻击。


过去,您车中发生的事情通常留在您的车中。 这已不再是这种情况。 从信息娱乐连接到空中(OTA)软件更新的数字创新的涌入正将汽车变成信息交换所。 这些变化在为客户带来巨大价值的同时,也使汽车暴露于数字革命的另一面。 黑客和其他黑帽入侵者正试图访问关键的车载电子单元和数据,从而可能危及关键的安全功能和客户隐私。


网络安全成为核心产品和价值链问题



随着新的个人出行概念,自动驾驶,车辆电气化和汽车连接性驱动的汽车行业经历转型,网络安全的重要性日益提高。实际上,考虑到车载系统的数字化,软件的传播以及新的全数字移动服务的创建,它已经成为核心考虑因素。这些服务包括一系列汽车应用程序,在线产品,客户可以在线购买和解锁的汽车功能以及与车载电子设备“对话”的电子汽车充电站。




当今的汽车拥有多达150个电子控制单元;到2030年,许多观察家预计他们将拥有大约3亿行软件代码。相比之下,今天的汽车有大约1亿行代码。从一个角度来看,一架客机估计有1500万行代码,一架现代战斗机约为2500万行,大众市场PC操作系统接近4000万行。过去35年来,以特定方式设计电子系统的传统,以及联网和自动驾驶汽车中对系统不断增长的需求和日益复杂的结果,都是导致复杂软件代码过多的原因。它不仅在汽车中,而且在整个价值链中都为网络攻击提供了充足的机会(图1)。



网络安全领域倾向于攻击者


可以肯定的是,汽车网络安全的经济学本质上是不公平的:使用正确的**工具,攻击是相对负担得起的,省力的事情。另一方面,为复杂的价值链及其产品建立一致的防御需要越来越多的努力和投资。到目前为止,这种现实使比赛环境向攻击者倾斜。整个行业都有很多例子。例如,白帽黑客以电动汽车模型控制了信息娱乐系统。他们在黑客大赛中利用了车载网络浏览器中的漏洞,导致电动汽车制造商发布了软件更新来缓解该问题。在另一起白帽子黑客事件中,一家中国安全公司在2018年发现了一家欧洲高档汽车制造商的车辆中的14个漏洞。另一家全球汽车制造商在2015年召回了约140万辆汽车,这是涉及汽车网络安全风险的首批案件之一。召回的影响是巨大的,根据我们的计算,OEM的潜在成本近6亿美元。


汽车行业缺乏处理网络安全的标准方法

对于一个习惯于解决复杂挑战和标准化响应的行业,网络安全仍然是一个未标准化的异常现象。 到目前为止,汽车供应商很难满足其OEM客户的各种要求。 因此,他们试图通过使用针对单个OEM的软件调整来平衡其核心产品中使用的通用安全要求与这些要求之间的平衡。 但是,当前的供应商关系和合同安排通常不允许OEM测试由各种供应商提供的零件组成的车辆平台或技术堆栈的端到端网络安全。 这可能会使供应商和OEM难以在汽车软件开发和测试期间共同努力以实现有效的网络安全。


产品网络安全的监管变化迫在眉睫


困难即将改变。监管机构正在为影响整个价值链的车辆软件和网络安全制定**标准。现在,网络安全问题已以监管机构和类型批准机构提出的要求的形式渗透到每辆现代汽车中。例如,自2018年4月起,加利福尼亚州有关自动驾驶汽车测试和部署的最终法规生效,要求自动驾驶汽车必须满足适当的网络安全行业标准。虽然这些法规对有限的车队具有立竿见影的影响,但联合国欧洲经济委员会(UNECE)领导的世界车辆统一法规论坛预计将于2020年最终确定其关于网络安全和软件更新的法规。这将使网络安全成为未来汽车销售的明确要求;相关法规将影响60多个国家/地区的新车型认证(图表2)。行业专家将即将到来的UNECE法规视为汽车行业技术合规法规新时代的开始,以解决行业内软件和连接性的增长和重要性。



改变齿轮以使网络安全成为核心考虑因素

尽管仍相对较新,但车载网络安全威胁仍将是一个持续关注的问题。 因此,汽车制造商现在必须将网络安全视为其核心业务功能和开发工作的组成部分。


而且,该行业不再将网络安全视为纯粹的IT主题。 相反,汽车制造商需要在核心价值链活动中(包括在其众多供应商之间)分配所有权和责任,并在核心团队中拥护安全文化。 同样,汽车行业的供应商需要接受OEM对网络安全的关注,开发将安全**实践嵌入其组件中的功能,并与OEM在端对端网络安全解决方案的集成和验证方面进行有效合作。


鉴于整个价值链中普遍存在的网络安全威胁,这就需要创建一种真正的,以软件为中心的网络安全文化。 汽车制造商本身在建立安全文化方面有很强的记录,但是在网络安全方面还没有。 超越汽车工业的边界,很明显,许多数字原生代已经展示了如何在其工程部门(不仅仅是IT部门)建立强大的安全文化。 在**的数字公司中,每个人都了解网络安全编码做法的重要性,并且组织维护旨在对人员进行网络安全培训的工程推广和教育计划,以诱使他们从表面上看并不断提高网络安全标准。


从一开始就将网络安全纳入设计


汽车制造商必须从一开始就安全地设计车辆平台和相关的数字移动服务。 这是因为车辆平台固有的复杂性,较长的开发周期和复杂的供应链,无法进行后期的架构更改。 此外,监管机构对原始设备制造商(OEM)形成了严格的要求,以获取新车辆的型式认可(图表3)。



汽车制造商必须在整个产品生命周期中考虑网络安全性,而不仅仅是在将汽车出售给客户时才考虑,因为随时可能出现新的技术漏洞。这些问题可能直接影响已经在路上的客户和汽车,从而有效地要求OEM厂商在汽车拥有生命周期中提供与安全相关的软件补丁。


当前,诸如智能手机供应商之类的高科技公司通过在首次销售后发布其产品的软件更新和安全修复程序来解决此问题(在许多情况下,新的操作系统修复程序也支持某些较早的产品)。然而,这通常被限制为两到三年,而车辆的平均使用寿命为十年甚至更长。随着OTA软件升级的到来,与经销商对汽车电子控制单元进行昂贵的重新编程(“刷新”)的当前做法相比,汽车制造商可以以具有成本效益的方式将车队维持在路上。


因此,汽车行业必须制定通用的网络安全标准,以控制开发和维护成本。 在这个问题上,OEM和供应商必须使用一种语言,以确保可管理的端到端安全解决方案。


专注于四个核心网络安全主题


我们认为,汽车制造商应在价值链和汽车数字生命周期中应对新的网络安全和软件更新挑战。为此,他们应该关注四个核心主题:


1. 建立明确的基准来执行。良好基准的本质在于理解OEM市场相关法规的要求,并利用有关网络安全和软件工程的现有国际标准。这样做将使OEM能够按照监管机构和国际标准的要求提供网络安全实践,并开发和维护安全的软件。网络安全管理系统(CSMS)可以帮助确保在汽车和数字交通生态系统中无情地应用网络实践。

2. 在工程,质量保证和其他核心价值链功能中创建一种真正的按设计数字安全文化,并推广内置安全性的汽车软件体系结构。这可能需要OEM对其软件工程和软件质量保证实践进行彻底改革,而这种实践通常不遵循软件原生行业中所见的严格的软件工程过程。这种设计安全性文化应关注安全开发实践,增强的软件测试流程以及包括网络问题在内的新的供应商审核流程。其他有用的要素包括允许测试组件的网络安全性的**供应商合同,以及对相关技术人员和面向客户的人员的网络意识培训。

3. 加强专业知识和能力,以监控道路上汽车的网络安全。重点应包括及时解决问题,而不会造成昂贵的产品召回和媒体审查。这可能意味着要完全管理汽车的数字生命周期,并对汽车的配置具有完全的透明度(例如,使用数字双胞胎),并最终为汽车建立一个安全操作中心,以接收来自汽车和更广泛的数字的数据生态系统-符合数据隐私法律(例如,后端系统)。安全运营中心将使用关联和人工智能来检测不良事件并启动明确的事件响应活动,最终导致向汽车提供软件更新。

4. 适应包含基于功能的开发,可靠版本控制和集成测试的软件工程实践。这种方法有效地使OEM可以评估单个软件更新对其车辆及其相关的安全和类型批准系统的潜在影响。建立这样的系统(用于车辆软件的版本控制,配置管理和软件更新管理),从而有助于确保在更新车辆中的软件时的操作安全性。在考虑更改车辆配置并评估对汽车的影响时,该方法也有帮助。


意识到机遇,黑客已经开始将更多精力集中在破坏联网汽车上,这对汽车制造商和供应商都构成了新的挑战。 尽管消费者在第一次发生重大违规之前将网络安全视为理所当然,但监管机构将加大对汽车制造商和供应商的压力,以确保他们免受攻击。 现代出行服务的整体安全性将取决于该行业如何解决联网汽车内部和周围的网络风险,以及关键参与者今天为未来攻击做准备所采取的战略行动。


关于作者

约翰内斯·迪希曼(Johannes Deichmann)是麦肯锡斯图加特办公室的合伙人,本杰明·克莱恩(Benjamin Klein)是柏林办公室的专家,甘德伯特·谢尔夫(Gundbert Scherf)和鲁珀特·斯图兹勒(Rupert Stuetzle)都是合伙人。


作者要感谢Georg Doll,Ralf Garrecht和Wolf Richter对本文的贡献。


  • 电话咨询
  • 15021948198
  • 021-22306692
None