欢迎光临第五届中国汽车网络信息安全峰会2020!

日本汽车工业正在采取下一步措施进行网络安全合作

发布日期:2020-07-13

GRCC IoVSecurity 昨天 

手机阅读

点击上方蓝色字体,关注我们

(A 2019 Nissan Skyline, Source: TTTNIS) 


关于网络安全风险的讨论往往忽略了一个关键领域,即汽车领域。这个行业面临着一些非常具体的网络安全挑战,日本最近的努力显示出一种成功解决这些漏洞的方法。


在日本,经过一系列网络攻击之后,开始认真地改善汽车行业的网络安全性。首先,2017年的一系列WannaCry网络攻击破坏了日产在英国的工厂运营。随后,日本汽车行业的网络攻击也继续存在。丰田的销售子公司在2019年成为网络间谍活动的受害者,因此可能泄漏了310万客户的个人信息。本田在2020年6月遭受另一次网络攻击,导致该公司在意大利,日本,北美,土耳其和英国的业务暂时中断。这些事件已引起业界的警醒,认识到网络安全对于企业安全至关重要。汽车制造商及其供应商的可持续业务运营。


一些观察家可能认为,与其他行业相比,汽车行业的网络安全风险没有那么严重。但是,汽车行业网络安全失败的潜在噩梦包括暂停日常运营以及盗窃知识产权和客户个人信息。汽车行业的网络攻击不仅会给客户的产品和服务带来负面影响,还会威胁到客户的安全,并使他们的安全感不佳。


汽车的网络安全极为复杂。它取决于三个不同的层次:汽车本身,汽车制造商及其供应商(包括电气设备和软件)以及服务提供商(例如汽车经销商和汽车共享服务)。


汽车本身的网络安全在很大程度上取决于车辆各部分的安全性。这包括用于计算机控制系统,连接的汽车服务和制造系统的安全机制。汽车制造商在内部使用大量的信息技术(IT)系统,计算机和服务器进行日常业务运营。这些系统还要求网络安全,以在生产的每个阶段保护车辆的组件并编写用于汽车的安全计算机程序。此外,汽车公司和技术供应商必须彼此共享一些知识产权,以确保汽车的正确设计和生产。这意味着数据安全性取决于每个人的作用。


汽车行业的供应链风险管理也很复杂。汽车通常包含40,000个零件以及快速增长的软件范围。由于车辆越来越多地配备了互联网连接,因此汽车制造商不得不与包括IT供应商和自动驾驶汽车传感器和光学传感器相机的制造商在内的新供应商合作,进一步扩展其供应链。网络安全风险持续下降到经销商级别。汽车经销商和互联汽车服务提供商处理大量客户的个人信息,包括姓名,家庭住址和GPS记录以及银行帐户和信用记录。


当前,没有针对汽车行业供应链的全球网络安全通用规范或标准。每家汽车制造商都采用了国际安全标准之一,例如ISO / IEC 27001,或者采用了国家驱动的准则或法规,例如美国国家标准与技术研究院(NIST)的网络供应链风险管理。各种汽车制造商使用的NIST文档包括SP800-161,SP800-171和SP800-58。多边和双边努力试图统一诸如交叉认证之类的个人倡议。此外,联合国欧洲经济委员会WP.29成立了一个由日本担任主席的网络安全工作队,并通过该工作队在6月通过了一项国际网络安全法规,以应对汽车网络攻击。该规定将于2021年1月生效。


那么**的前进方向是什么?日本的一个工作组已经针对汽车网络安全提出了一些具体建议。


2019年4月,日本汽车制造商协会(JAMA)在其电子信息交换委员会下成立了网络安全工作组,以与包括WP.29号文件在内的各种利益相关者就网络安全进行合作。工作组和这些利益相关者举行了无数次会议,讨论了供应链风险管理的网络安全准则。所有日本汽车制造商均隶属于JAMA工作组,旨在提高整个行业的网络安全性。JAMA成立几个月后,日本汽车零部件工业协会(JAPIA)也成立了网络安全工作组。两个工作组于2019年夏季开始合作讨论潜在的准则。


协作工作组的目标是创建与国内外合作伙伴共享的准则,但是从一开始,它就必须进行坦率的对话,让竞争对手公开披露每个公司的网络安全工作和政策。成员每月开会两次或三次。(冠状病毒大流行带来了另一个障碍:会议现在在线进行,该小组不得不浏览与在线共享敏感文档有关的网络安全问题。)


工作组采取了四个步骤来制定网络安全供应链风险管理指南。首先,他们咨询了日本经济产业省的2019年4月网络物理安全框架,该框架涵盖了网络安全和供应链风险管理。网络物理安全框架交叉引用了其他国家的网络安全指南和法规以实现政策协调。


其次,工作组成员共享了每个公司的网络安全策略的摘录,以比较和理解每个成员公司如何解决网络物理安全框架中的主要问题。由于每个公司处于管理网络安全风险的不同阶段,并且使用不同的语言来反映公司的企业文化的特质,因此该小组花了两到三个月的时间将不同公司的持续努力与该框架进行了比较。


第三,JAMA和JAPIA同意仅使用网络物理安全框架中的129个基本项目中的50个来设置基准标准,即使是中小型企业(SMB)也应遵守。尽管JAMA和JAPIA的成员是主要的汽车制造商和制造商,但它们的承包商和分包商通常是中小型企业。但是,基准标准为网络安全奠定了坚实的基础。例如,**标准要求公司制定网络安全政策并指定负责网络安全的人员。制定基准需要进行大量辩论,而且公司花了两个月才能达成协议。


最后,协作工作组花了三个月的时间来草拟网络安全供应链风险管理指南。网络安全供应链风险管理指南的第一版最终于5月发布,英文版将在稍后发布。该文档涵盖了汽车制造商以及零部件和技术供应商。工作组将要求一些公司在三个月的试用期内采用该准则,然后征求他们的反馈。试用期结束后,将根据成员的输入对文档进行审核和更新。


此外,JAMA计划扩大准则,以包括针对具有更先进能力的公司的网络安全措施,不仅涵盖汽车制造商和供应商,还涵盖工厂和汽车经销商。日本汽车行业预计,5月份的指南和未来版本将有助于整体提高其网络安全水平。以前,每个汽车制造商只能在其集团公司内执行其网络安全政策,而不能与供应商一起执行。该准则允许汽车供应链中的所有日本公司协调其网络安全工作。他们的下一步是从其他国家获得交叉认证协议。


制定指南的努力反映了日本汽车制造商和供应商希望为全球汽车网络安全做出贡献的愿望。在美国有市场的日本汽车制造商已加入美国汽车信息共享和分析中心(Auto-ISAC),与美国同行分享日本对网络安全和网络攻击的见解。Auto-ISAC成立于2015年,旨在交流网络安全**实践和网络威胁情报,其成员包括汽车制造商,IT和电信公司(例如AT&T)。本田和丰田等一些日本汽车制造商在Auto-ISAC 2019峰会上就网络安全进行了演讲。JAMA还在2017年推出了日本自己的Auto-ISAC,即J-Auto-ISAC,以在其成员之间共享日本特定的网络威胁情报。


尽管日本汽车制造商和供应商已着重于在国内扩大其新的供应链风险管理指南,但日本将需要与其他国家/地区合作以进行交叉认证,并且该行业渴望分享**实践。德国,英国和美国也在制定自己的版本的网络安全法规。例如,美国国家公路交通安全总局于2016年发布了《现代车辆网络安全**做法》。只有与日本及其盟国之间加强合作,汽车行业网络安全的全球标准才会得到加强。


冠状病毒大流行给全球经济蒙上了阴影。网络攻击者通过发送以冠状病毒为主题的网络钓鱼电子邮件并创建伪造的联系人跟踪应用程序和虚拟专用网络,来利用突然转移到远程工作和人们对疫情的状态的兴趣。随着网络威胁的增长,Barracuda Networks 公司在5月份报告说,有40%的组织削减了网络安全预算,以此来节省成本。在这场史无前例的危机中,公司与国家/地区之间的网络安全合作对于打击无边界网络攻击比以往任何时候都更为重要。


网络安全给所有参与汽车行业的公司带来了共同的挑战和机遇,以确保创新并保护客户。世界上没有多少计算机控制系统供应商,并且汽车经销商通常与多家汽车制造商合作,因此业界必须为网络安全而共同努力。正在进行关于创建准则的国家和***别的讨论。现在是双边对话分享**做法并为全球安全赢得胜利的时候了。日本已准备就绪。下一个是谁?


作者:Mihoko Matsubara,NTT Corporation**网络安全策略师

Tuesday, July 7, 2020, 8:01 AM

原文链接:https://www.lawfareblog.com/japanese-automobile-industry-taking-next-steps-cybersecurity-collaboration



相关文章

Cybellum宣布与位于特拉维夫的雷诺-日产-三菱创新实验室建立汽车级网络安全战略设计合作伙伴关系
500,000名宝马,梅赛德斯和现代车主遭到大规模数据泄露的打击
本田遭黑客软件勒索,或需支付赎金自救,车企提升网络安全迫在眉睫




SELECTED EVENTS




 

长按二维码识别关注



我就知道你“在看”


  • 电话咨询
  • 15021948198
  • 021-22306692
None