欢迎光临第五届中国汽车网络信息安全峰会2020!

波士顿咨询 | 网络弹性将成就或打破大规模自动驾驶汽车的梦想

发布日期:2020-05-03

GRCCIoVSecurity

2020-05-03 14:35:04

手机阅读

点击上方蓝色字体,关注我们



Stefan A. Deutscher,Alex Koster和Christoph Gauger概述了网络安全在自动驾驶汽车的开发以及最终成功中的重要性


想象一下:无人驾驶汽车在街道上占主导地位。由环保动力总成提供动力的无人搬运车和送货车辆在无人驾驶乘用车中找到了出路,尽管实际上没有被车上的任何人驾驶,它们却优雅地躲避了自行车,行人和固定物体。交通事故和交通拥堵已被减少到以前的一小部分。交通不畅。紧急车辆的交通信号灯会变为绿色,这些车辆会实时获得通行权,并能顺畅地滑过所有车辆。


尽管该行业已经将这种情况描绘了几年,但我们仍处于科幻小说的地位。但是,在您阅读本文时,大部分内容都在进行中。无人驾驶出租车即将上街,并且今天正在设计和编程未来的汽车。为了使小说成为现实,需要做几件事。仅举几例:替代的动力总成和相应的加油/充电基础设施,用于自动车辆控制的人工智能以及法规更新。然后是整个汽车生态系统的汽车网络安全或更准确地说是网络安全。


网络安全是自动驾驶汽车成败的关键


这真的是前提吗?大多数高管和高级管理人员从情感上已经理解了网络安全的重要性,但是许多人仍然认为网络安全只是做生意的成本,IT部门或合规部门**妥善处理。我们谨求与众不同:超越合规性的全面网络安全至关重要,并且可以实现(如果做得好)或打破(如果做得不好)大规模自动驾驶的梦想。在这里,我们概述了原因。



汽车几乎是纯机械设备的时代已经过去,如今它正以惊人的速度发展(**关语),从编程到嵌入式控制单元的智能到软件控制的,自学习和自优化的网络,物理混合-换句话说,是运行在数字技术上的计算机。目前,该技术与普通个人计算机中使用的商品IT组件有很大不同。长期以来,两者之间的差异足够大,足以抵御在企业IT环境中常见的标准网络攻击。


然而,车载数字技术中的一些关键要素—嵌入式控制器(用于ESP系统或发动机控制),集中式车辆控制系统和信息娱乐系统—一方面受到快速开发速度的困扰,另一方面受到显着的成本压力的困扰。。与其他行业(例如电力行业)一样,以前专有的硬件和软件技术也开始向更熟悉的商业现货成分融合,例如工业物联网(IIoT)组件,商品x86或ARM处理器,动力的PC图形处理芯片(对于板载人工智能功能至关重要)和第三方应用程序软件接口,例如Apple CarPlay或Android Auto。


整车价值链


这种类型的变化会影响整个汽车价值链。它越来越多地吸引了一批新手,包括好人和恶意手,从旁观者进入游戏,时而在知名汽车制造商周围奔波。这些人发现自己已经从100多年的家庭草皮中抽身而出,不再熟悉板载,边缘,雾和云计算领域,从硬件/系统工程,销售和租赁业务到软件和数据业务。此外,从长期的,规范驱动的适航性审批流程过渡到敏捷的最小可行产品思维和高频连续迭代的动机也很明显。



大多数高管和高级管理人员从情感上已经理解了网络安全的重要性,但是许多人仍然认为网络安全只是做生意的成本,IT部门或合规部门**妥善处理。我们希望有所不同


这种变化还增加了整个车辆生态系统的所谓网络攻击面(漏洞的类型,程度和严重性)。这种使用现成的商用商品IT成分的趋势增加了人才库的规模,这些人才库能够开发和发起对车辆和/或其生态系统的成功攻击。毫不奇怪,在2014年的BCG研究中,网络安全已经成为被调查的自动驾驶汽车潜在消费者的主要关注之一。


以前,恶意行为者需要物理访问汽车才能将扳手投入工作(或松开一些重要的螺栓)。现在,现代汽车倾向于越来越多地与外界建立网络,甚至几乎“始终在线”。这提供了一个始终可访问的远程入口点:在需要物理访问的地方,现在仅需要来自世界任何地方的Internet连接。确实,正如反复说明的那样,一台笔记本电脑和一些相对负担得起的附加硬件设备,或者偶尔甚至有几行通过无线(Wi-Fi或蓝牙)或有线(例如OBD- 2个插头)连接足以打开车门(即使在行驶中),鸣喇叭,闪烁前灯,调高收音机音量,提取个人可识别或位置数据或更改导航系统性能。清单继续。幸运的是,其他攻击成功地使汽车驶入了沟渠,作为在受控情况下的概念证明。但是,这次攻击导致了汽车历史上第一次与网络安全相关的车辆召回,并影响了超过一百万(!)辆车辆,造成的损失估计在2500万美元(仅看召回人工成本)到5.8亿美元( 2016年美国平均每车召回成本为416美元)。汽车制造商已做出回应,并争先恐后修补此类错误。



现代汽车倾向于几乎“始终在线”。这提供了一个始终可访问的远程入口点:在需要物理访问的地方,现在仅需要来自世界任何地方的Internet连接


运气不好,对一个人的监督令人遗憾,现在已经修复了此漏洞的事情不会再发生了吗?不太可能。它更有可能指向单个公司以外的系统性问题,这是整个汽车行业为了实现安全,自动驾驶梦想而必须克服的难题。


系统性问题


让我们看一下控制多个当前车辆的软件的复杂性(图1)。显而易见,汽车变得异常复杂,网络计算机的滚动集合。流行的皮卡车包含100多种不同的计算机和控制器芯片,并由超过1.3亿行计算机代码运行。这已经是现代客机的20倍。公路用自动驾驶汽车有望达到3亿行代码。编写此代码需要做大量工作,并引用约瑟夫·康拉德(Joseph Conrad)的话:“只有那些无所事事的人才不会犯错误”。因此,让我们接下来看一下每1000行代码的平均缺陷数,在各种分析报告中都有充足的数据:每1000行代码最多可以看到50个缺陷,其中约有10个关键缺陷。即使其中只有1%会影响网络安全,我们的AV也会在其软件胆量中隐藏约30,000(!)个网络缺陷,从而上路。这些缺陷可能成为容易造成严重破坏的漏洞。


需要明确的是:我们不仅要考虑潜在的随机质量问题或材料疲劳,这些问题会导致人们对统计数据的理解造成意外损坏。现在,我们还面临着恶意行为者蓄意造成伤害的故意行为的风险,这有可能造成随机的附带损害或以有针对性的,非随机的方式进行打击。换句话说,尽管网络安全与质量管理和安全工程有很多共同点,但它增加了一个根本的新优势:除了随机故障,我们现在还与人类行为者打交道,他们有意识地破坏事物,因为他们期望从中受益这样做。



可以肯定的是:做对了,网络弹性可以为自动驾驶汽车创新提供强大的基础。它甚至可以加快速度。做得不好,网络引发的事件将激增


将其与重型汽车在城市环境中结合使用,将变得十分清晰:必须减少缺陷的数量(例如,通过改进编程做法和不断修补),以及恶意软件可以滥用或利用剩余缺陷的方式 必须减轻参与者的负担(例如,通过监视,阻止和非数字式故障安全补偿控制)。而且,由于无法实现100%的网络安全性(就像无法实现100%的正确软件一样),因此建立针对车辆生态系统的网络攻击的系统弹性非常重要。


需要做什么?


这是技术问题,还是仅仅是IT问题?只是部分的。首先也是最重要的是,在技术背景下,网络弹性是一个商业问题。波士顿咨询公司(BCG)最近的一项研究发现,在成为头条新闻的网络违规事件中,72%是由于人员、流程和组织的失误,而技术问题只造成了剩下的28%。因此,虽然技术对网络恢复能力很重要,公司开始在密码、硬件安全模块、身份管理、安全总线体系结构、防篡改芯片设计等方面进行投资,但这只是冰山一角。


  • 从对自主汽车的渴望来看,汽车公司应该加大力度,系统地解决水线以下冰山的更大部分。以下是一些需要做的事情:


  • 将网络弹性视为业务问题,而不是纯粹的技术问题,并将其责任不仅限于技术职能。


  • 以客户为中心的观点;从人员(客户,员工,车库工作人员等)开始,查看流程和组织,然后转化为技术要求;


  • 考虑生态系统的观点,并考察上游,供应商,下游,经销店,维修店和汽车所有者,以及侧面,城市基础设施运营商,其他交通参与者,电网等的网络弹性。例如,来自另一个行业一个紧密交织的生态系统,请参阅世界经济论坛与BCG合作开展的“电力生态系统的网络弹性”工作;


  • 准备不仅对您直接在自己的公司中生产和控制的产品的网络安全负责,而且还对您与供应商的集成以及经销商和维修店在下游所做的事情负责。对于汽车制造商而言,这可能意味着他们将必须扮演生态系统协调者的角色,以确保端到端的网络弹性。


  • 为软件,硬件(例如,机载控制单元,ECU,传感器,执行器等)以及随附服务采用生命周期视图;


  • 明确负责提供错误修复,安全更新和补丁的责任,以及车辆生态系统的哪些部分。是汽车制造商,供应商,其他第三方还是以上所有条件?


  • 明确您将承担此责任的时间,并建立足够灵活且模块化的体系结构以履行此职责(例如,通过无线软件更新以及硬件更新)。客户不太可能接受必须更换整车的原因,例如,由于在设计或投放市场时**进的加密技术在交付汽车时就已经失效;


  • 拥有HSE(健康,安全和环境)和QM(质量管理)这两个学科,在大多数汽车制造商中(特别是ISO 26262道路车辆-功能安全性),它们趋于非常成熟,它们具有网络弹性(请参见即将发布的未来ISO 21434道路车辆-网络安全工程)。最终,您将希望从一开始就将网络弹性设计到您的产品中,就像现在质量一样(从纯粹的事后统计控制到预防性的前期质量工程已经成熟);


  • 作为集成的一部分,在流程和产品中加强监视和响应能力,并实施带外补偿控制机制,例如仪表板上的等效于紧急停电(EPO)的故障安全功能;


  • 建立一个组织并雇用能够驱动和完成所有这些工作的人员。


显然,它还有很多,但有一点可以肯定:做得正确,网络弹性可以为自动驾驶汽车创新提供强大的基础。它甚至可以加快速度。如果做得不好,网络引发的事件将滚雪球,有可能损害环境,伤害人(或更糟),并最终引起公众的注意或采取管制行动,以杀死几乎无摩擦的交通梦想。选择权取决于汽车生态系统中的所有参与者。现在该采取行动了。


作者简介:

Stefan A. Deutscher是波士顿咨询集团网络安全和IT基础架构的合伙人兼副总监,也是BCG网络安全全球主题负责人。 

Alex Koster是BCG的博士和合伙人,并且是汽车数字转换和软件方面的专家。 

Christoph Gauger是BCG的博士和合伙人,领导BCG的全球汽车数字技术中心




相关文章

专访IEEE专家:车联网安全问题待解 无人驾驶技术如何真正取得突破?
意见 | 现在是解决自动驾驶汽车网络安全的时机
模型入侵ADAS为自动驾驶汽车铺平安全道路
ACSS2020 华为Hua Wei陈幼雷| 自动驾驶数据安全及评测体系研究Self Driving Data Security






SELECTED EVENTS




 

长按二维码识别关注



  • 电话咨询
  • 15021948198
  • 021-22306692
None