汽車信息網絡安全事件數量激增
2019年6月,英國發生了14起案件,犯罪分子利用無鑰匙進入系統漏洞入侵車輛,並向車主勒索贖金,要求他們支付數千英鎊。這些犯罪分子利用“中繼攻擊”黑客技術,在沒有鑰匙的情況下打開車輛並啟動發動機。 同樣在2019年,美國壹群芝加哥黑客利用Car2go?App應用漏洞解鎖豪華車,使Car2go停止了在芝加哥的服務。這次事件的發生,導致個人車主和App應用服務商遭受重大財產損失。 App應用程序使用十分便利,因此使用量逐年增加。由於移動應用中的漏洞,黑客可通過遠程發送命令和檢索數據,從而獲得車輛未經授權的物理訪問,導致車主隱私泄露、財產損失甚至影響人身安全。 網絡安全攻擊事件正在激增,據研究機構統計,2019年汽車受到網絡安全攻擊事件高達155起,是2016年的7倍,2018年的2倍。其中,車雲、車外通信端口和App攻擊占比近50%,成為最主要的攻擊入口。自2016年以來,發生的汽車網絡安全事故數量同比增加605%。 中國汽車工程研究院股份有限公司總經理萬鑫銘說:“當聯網已經成為新車基礎功能配置,網絡安全將成為新十年周期汽車產業的創新焦點。” 如果妳以為汽車網絡信息安全與自身關聯不大,那麽恐怕需要妳引起警醒。質檢總局缺陷產品管理中心汽車召回管理部主任肖淩雲給出壹組數據:質檢總局缺陷產品管理中心聯合相關機構選擇多款車型進行信息安全測試,63%的網聯車輛存在壹定的安全隱患。“這只是部分車輛的測試結果,說不定妳現在駕駛的車輛就存在網絡安全隱患。”肖淩雲說。 華為智能汽車解決方案BU、標準總監高永強認為,智能網聯汽車面臨的威脅有七類:分別是雲端服務器以及手機App漏洞;車輛外部接口:包括不安全的外部連接,缺乏認證或者接入控制,認證機制被繞過;車載網絡以及車載部件安全威脅。 目前來看,智能網聯汽車網絡信息安全主要涉及五大方面:通信網絡安全風險、車載系統及終端安全風險、移動終端安全風險、信息服務平臺安全風險、數據安全風險。“新四化”帶來汽車網絡信息安全問題
“車內軟件系統不斷增加和更新,源代碼數已達上億條,且規模還在擴大,代碼越多漏洞越多。”天融信科技集團高級副總裁楊斌認為,汽車網絡信息安全威脅主要歸因於三個方面:智能化、網聯化以及車與外部交互。 360政企安全集團汽車安全實驗室主任嚴敏睿則從汽車“新四化”角度解釋智能網聯汽車的網絡信息安全問題。 “新四化”帶給汽車行業變革,網聯化是希望帶給消費者新的數字化體驗。2020年,全球銷售的內置網聯功能車輛占比48%,預計2030年這壹占比提升至96%。然而,汽車網聯化的同時,汽車外部接口增多,大量的數據交互,多種多樣的技術棧,以及越來越多的第三方服務商,對信息安全帶來更多潛在風險。 智能化則是希望短期內減少意外事故,中期提高效率,長期實現智能化交通。2020年,全球銷售的L2級別以上的自主駕駛車輛占比45%,預測到2030年占比達到79%。不過,汽車走向智能化過程中,傳感器信號的可靠性、自動駕駛算法的容錯率、以及外部信號輸入的可靠性,對汽車功能安全都意味著挑戰。 ***享化旨在減少交通擁堵、運力負荷、以及排放汙染。2020年全球銷售的車輛中1%利用***享進行盈利,預計到2030年占比將達到26%。可是,***享化就意味著車輛各類使用者的行為不可控,車輛軟、硬件變化不可知,也給了不法分子可乘之機。“隨便找到壹輛***享汽車,就很有可能成為黑客攻擊測試的工具。” 電動化目標是減少對化石燃料的依賴,提高空氣質量,最終通過電機替代內燃機。2020年全球銷售的車輛中3%為電動車,預計到2030年占比將達到24%。不過,電動化過程中,趨於集中式的電子電氣架構,更方便的ECU控制,也意味著更明顯的信息和功能安全挑戰。 “網聯化使汽車暴露於互聯網,車輛近乎裸奔。智能化架構復雜,風險點增多,攻擊鏈路多樣化。電動化降低漏洞成本,更利於黑客進行非法控制。***享化造成物理接觸攻擊面,便於黑客進行接觸式攻擊。”嚴敏睿總結道。零事故、零傷亡是智能網聯汽車終極目標
智能網聯汽車的初衷是什麽?讓消費者享受優秀的駕駛和娛樂體驗,通過技術手段,逐步消除車輛在人為操作過程中帶來的安全事故。然而,正如文章開頭所言,技術是把雙刃劍,我們追求汽車安全的同時,也要與安全威脅正面較量。 中國信息通信研究院副院長余曉暉強調,車聯網產業鏈條長,角色豐富,安全防護環節眾多。從技術層面來看,車輛網絡信息安全遵循“木桶效應”,黑客尋找成功的攻擊路徑,永遠是選擇成本最低、速度最快、難度最小的路徑,這也反過來說明,汽車安全性取決於最薄弱的環節。 如何解決?華為提出的網絡安全防護目標值得我們思考:“進不來、拿不走、看不懂、改不了、癱不成、賴不掉。”高永強指出,華為建立了基於縱深防禦的安全防護框架,從車雲服務、外部接口、車內網絡以及車內部件等板塊入手,建立多重安全防護體系,以實現華為的網絡安全防護目標。『華為“進不來、拿不走、看不懂、改不了、癱不成、賴不掉”目標』
國汽(北京)智能網聯汽車研究院有限公司總經理助理兼整車事業部部長劉衛國給出政策層面的建議:第壹,智能網聯汽車的安全問題是系統性問題;第二,智能網聯汽車的發展要上升到國家戰略並且具有屬地化,需要有中國特色的方案;第三,中國需要發展智能網聯汽車***性的基礎技術平臺,為整個智能網聯產業做支撐;第四,產品準入政策的制定不要過死,增強企對自身產品負責的意識。編輯總結:
“新四化”背景下,汽車產業鏈正在加速深度合作步伐。車聯網技術向著智能化、網聯化方向演進,車載操作系統、新型汽車電子、車載通信、服務平臺等產業鏈玩家正在加速融合,產業格局正在被重塑。在這樣的產業格局下,我們的政策取向務必要優先考慮安全:人身與財產安全、網絡安全、隱私及數據安全。這是壹個“軟件定義汽車”的時代,也是“安全定義汽車”的時代。(文/汽車之家?李爭光)