欢迎光临第五届中国汽车网络信息安全峰会2020!

追求安全:汽车行业在推出联网汽车时面临安全问题调研

发布日期:2020-01-08


GRCCIoVSecurity

2020-01-07 18:37:39

手机阅读

联网汽车在这里,但是最近的一项研究表明它们可能还没有准备好。


问题?安全,当然。 Ponemon Institute的研究表明,来自汽车行业的84%的受访者担心软件安全性无法与汽车制造商采用的技术发展保持同步。


而且,有30%的人表示他们甚至没有专门负责产品开发的安全团队,还有63%的人表示,他们测试了用于漏洞的技术的不到一半。尽管有62%的人表示他们预计明年会对汽车技术进行恶意或概念验证攻击,但事实并非如此。


“当我们谈论灾难的可能性时,这些数字是不可接受的,”波尼蒙研究所创始人拉里·波尼蒙的评论。


当考虑到现代车辆中嵌入了多少技术时,对安全性缺乏关注变得更加令人震惊。连接车辆的竞赛很大程度上是由安全性驱动的,因为连接助力功能(例如车道辅助和避免碰撞)是安全的。


软件安全培训公司Security Innovation的**执行官埃德·亚当斯(Ed Adams)对与会的与会者说:“平均而言,现代汽车具有1.3亿行代码,因此您可以看到汽车刚刚下线。”亚当斯(Adams)和波尼蒙(Ponemon)共同介绍了“确保现代车辆的安全:汽车行业网络安全实践研究”的结果,波尼蒙(Ponemon)于今年初代表Synopsys完成了这项研究。


更糟糕的是,不仅仅是汽车制造商正在做或不做的事情令人关注。这也是他们将会或不会做的事情。这项研究的另一项发现大声地表明了这一点:在接受调查的汽车制造商中,只有33%的人表示他们教育开发人员编写安全代码。


“这非常令人担忧,”波内蒙说。 “这可能是个大问题。


实际上,这已经成为潜在的营销问题,因为接受调查的28%的消费者表示,他们再也不会从被黑客入侵的任何品牌购买汽车了。这些消费者表示,他们非常重视安全性。他们被要求以1到10的等级对联网汽车的各个方面的关注程度进行排序,安全性的平均分数为6.68,这意味着存在极大的担忧。


随着这场辩论以及互联汽车幕后工作的继续进行,美国交通运输部一直在推动其自身的道路安全方法,方法是推动实施V2V(或车对车)广播系统。这项技术使用开源的专用短程通信无线协议,不断广播有关车辆位置,速度和轨迹的匿名数据,以向驾驶员发出有关潜在碰撞的警报。


它每秒每秒广播此数据10次,Adams指出,尽管该技术在设计时就考虑到了隐私,但没有中央信任机构。没有数据记录,也没有广播有关车辆制造商或驾驶员的信息。


V2V目前正在密歇根州,纽约州和怀俄明州以及欧洲和亚洲许多地区进行试点测试。 Adams估计,这项技术会使车辆的生产成本增加约300美元,并且将首先出现在高端车辆中。


此外,参议员Ed Markey(D-Mass。)拥护了不幸的名为SPY Car Act(汽车安全和隐私保护),该法案旨在将网络安全和隐私保护标准纳入车辆生产中,并在仪表板上贴上标签将显示特定汽车在保护安全性和隐私性方面的表现。


亚当斯说,要使诸如V2V和SPY汽车法之类的计划取得成功,仍然面临的挑战之一是,在没有集中式信任授权的情况下,如何有效地管理公钥基础设施的治理存在着固有的困难。他甚至建议区块链可能是一种可能的解决方案。


同时,我们有理由深呼吸,并相信可以解决联网车辆所面临的问题。一方面,亚当斯(Adams)说,他看到大量证据表明,汽车制造商在应对安全挑战方面越来越主动,例如在教育开发人员如何编写安全代码方面进行了更多投资。


此外,V2V试点计划正在证明该技术的价值。例如,密歇根州安阿伯市的工作涉及30,000辆汽车,而其中一辆没有参与测试过程中的碰撞。


也许最重要的是,坏蛋显然还没有到他们构成大规模威胁的地步-至少现在还没有。


“大量入侵汽车非常困难,”亚当斯说。


毫无疑问,这将会改变。问题是汽车工业是否会准备就绪,对此的答案仍然非常不确定。



  • 电话咨询
  • 15021948198
  • 021-22306692
None