說多大就有多大的生意，車輛網(wǎng)絡安全你準備好了嗎？

早在 2016 年，三位中國工程師就通過無線電波、聲和光成功“騙過”了特斯拉 Autopilot 系統(tǒng)；今年 2 月，以色列 Negev 大學的一位博士生利用投影儀將二維人體影像投射在道路上，Model X 便開始減速；10 月，又有以色列研究團隊挑戰(zhàn)包括特斯拉在內(nèi)的 Beta 版交通信號燈和停止標志識別功能，結果是：“只是照亮道路上的物體圖像，或在數(shù)字廣告牌中注入幾幀停止標志，汽車就會剎車或可能轉彎，這很危險?！边@樣的案例還有很多，不禁讓人們對未來自動駕駛汽車，更確切說是汽車網(wǎng)絡安全捏了一把汗。

或許，隨著國際標準化組織（ISO）和國際汽車工程師學會（SAE International）起草的一份標準——ISO/SAE 21434《道路車輛 - 網(wǎng)絡安全工程》發(fā)布，情況將有所改觀。國際社會為定義汽車網(wǎng)絡安全標準所做的努力是巨大的，來自世界各地的專家聚集在一起應對這一非常嚴峻的挑戰(zhàn)。預計，最終標準將在 2021 年出臺。

讓整個供應鏈殊途同歸

該標準草案為確保網(wǎng)絡安全預先設計到車輛中定義了一個結構化過程。它為整個供應鏈提供了一種交流和管理網(wǎng)絡安全風險的通用語言，量化了車輛中不同系統(tǒng)或功能的網(wǎng)絡風險，從而使相關公司就降低該風險所需的嚴格程度達成一致。避免“公說公有理，婆說婆有理”或“不知所云”的尷尬。

標準草案有 108 頁

ISO/SAE 21434 為汽車公司建立了一個網(wǎng)絡安全框架，但并未直接涉及或推動技術，旨在加強行業(yè)在網(wǎng)絡安全方面的合作，從而開發(fā)更好地解決當今和未來網(wǎng)絡安全問題的技術和解決方案。它將有助于工程師在開發(fā)過程的每個階段和現(xiàn)場考慮網(wǎng)絡安全問題，創(chuàng)建一個涵蓋掃描漏洞、增強車輛自身網(wǎng)絡安全防御能力的檢查表，并對每個組件的潛在漏洞進行風險分析。

新的國際標準將借鑒 SAE 的指導方針，構建一個全面的網(wǎng)絡安全工具，在全球范圍內(nèi)解決行業(yè)的所有需求和挑戰(zhàn)。它將有助于解決道路車輛電氣和電子（E/E）系統(tǒng)工程中的網(wǎng)絡安全問題，幫助制造商跟上不斷變化的技術和網(wǎng)絡攻擊方法。

數(shù)據(jù)采集今非昔比

SAE 全球地面車輛標準總監(jiān) Jack Pokrzywa 回顧說：“早在 20 世紀 90 年代初，我們就利用諸如事件數(shù)據(jù)記錄器或汽車‘黑匣子’之類的設備從汽車上收集到了數(shù)據(jù)，可以發(fā)現(xiàn)車輛碰撞前后的運行信息。
?? ?

Jack Pokrzywa

現(xiàn)在的技術已經(jīng)遠遠超過了當時。其功能包括捕捉位置、天氣和交通狀況等外部信息；而車內(nèi)傳感器可以收集乘客數(shù)據(jù)，以便在發(fā)生事故時提供有用的信息。他補充道：“生物特征信息也已不在話下，傳感器還可以跟蹤眼球運動，以檢測駕駛員的注意力，從而確定司機是否在開車時睡著了?！?/p>

現(xiàn)在的汽車操作系統(tǒng)中連接了很多應用程序，例如，可以記錄通過汽車揚聲器系統(tǒng)撥打的電話信息。這樣做有利于安全，但也會泄露隱私數(shù)據(jù)。借助互聯(lián)網(wǎng)技術，汽車不僅可以打電話，還能告訴人們是否駛入了錯誤的車道，實時更新交通狀況，或者告訴我們最近的加油站在哪里。在把我們從 A 點送到 B 點的同時，一些功能增加了從竊取個人信息到將你逐出公路的風險。

不斷增加的攻擊點加大了汽車安全威脅

ISO 專家工作組的另一位項目負責人 Markus Tschersich 博士警告說，在歐洲等一些司法管轄區(qū)，車輛識別號（VIN）被視為個人識別信息（PII）?！耙虼耍杏绍囕v系統(tǒng)生成并與 VIN 相關的數(shù)據(jù)都可以解釋為 PII。這些信息可以單獨或組合起來用于識別、定位或聯(lián)系個人。例如，從制動、轉向系統(tǒng)和其他汽車部件收集的數(shù)據(jù)可用來獲取有關駕駛員技能和行為的信息?！彼硎?，在當今汽車行業(yè)，供應鏈的每一步都由高科技軟件指導、監(jiān)控和分析。只要汽車和外部來源有聯(lián)系，就有黑客攻擊的可能性。車輛不僅需要功能安全，更要預防網(wǎng)絡攻擊。

Markus Tschersich

不斷增加的內(nèi)部和外部連接，使攻擊正在從單一的 ECU 操作擴展到有組織的網(wǎng)絡范圍的攻擊，其開發(fā)驅動力來自于各種利益相關者（所有者、公司、第三方）追求的樂趣、名聲和蓄意破壞。

汽車產(chǎn)品可擴展性攻擊趨勢

隨著連接性的進步，消費者將獲得巨大的利益，因為他們的車輛可以通過空中接收更新改進功能和增強安全性，與其他車輛或城市基礎設施通信，或通過用戶界面提供網(wǎng)絡信息。然而，先進的連接需要先進的網(wǎng)絡安全，以保護駕駛者和其他道路使用者免受潛在的攻擊。這些攻擊可能來自對車輛的物理訪問，甚至通過 Wi-Fi 或藍牙，而手機連接意味著攻擊者可能從世界任何地方訪問車輛系統(tǒng)。

汽車行業(yè)對此心知肚明。要完全解決這些風險需要時間，但首先必須有一個協(xié)調(diào)的方法來解決這個不斷增長的市場中的網(wǎng)絡安全問題?，F(xiàn)有網(wǎng)絡安全標準并不能很好地適應特定于汽車的挑戰(zhàn)。在這些挑戰(zhàn)中，車輛安全首當其沖，車輛中的技術具有很長的生命周期，且系統(tǒng)要駐留在嵌入式控制器中。每個 OEM 或供應商都必須制定自己的網(wǎng)絡安全要求。事實上，甚至沒有一種通用的方法來描述對車輛各種功能的網(wǎng)絡攻擊所帶來的風險。

這也正是起草 ISO/SAE 21434 的初衷，雖然一個標準本身并不能使車輛免受網(wǎng)絡威脅，但它可以為行業(yè)提供工具，以制造出能夠解決風險的產(chǎn)品。

系統(tǒng)和技術需要安全數(shù)據(jù)、安全網(wǎng)絡和安全組件

與黑客賽跑

今天的汽車充滿了復雜的軟件，不遠的將來會更加復雜。根據(jù)麥肯錫公司的數(shù)據(jù)，汽車現(xiàn)在有大約 1 億行代碼，而到 2030 年，其數(shù)目將是現(xiàn)在的三倍。一架客機也不過 1500 萬行代碼，而標準 PC 操作系統(tǒng)約 4000 萬行代碼。機器越復雜，整個價值鏈上遭受網(wǎng)絡攻擊的機會就越多。

在各種測試車輛網(wǎng)絡安全系統(tǒng)穩(wěn)健性的實驗中，“白帽黑客”（即故意侵入系統(tǒng)以測試和評估其安全性的計算機安全專家）證明了遠程控制汽車是可能的。例如，早在 2015 年，他們就證明了可以控制吉普車的剎車和加速系統(tǒng)、儀表盤等，這是一個可怕的想法。

在另一次對特斯拉的實驗中，計算機安全專家成功地欺騙了汽車的自動駕駛軟件，讓車轉向進入了逆行車道?！捌渌录?，例如不涉及白帽黑客的事件，也需要以合理的謹慎和關注來處理，”國際標準化組織專家工作組負責道路車輛電氣和電子部件網(wǎng)絡安全 WG11 的項目負責人 Scharfenberger Fabian 博士說。

隨著技術越來越深入地融入汽車，汽車工業(yè)正面臨著艱巨的任務——保護全球汽車基礎設施，不受那些想要竊取數(shù)據(jù)并控制自動化系統(tǒng)，以達到惡意目的的網(wǎng)絡罪犯控制。他說：“網(wǎng)絡安全措施需要從系統(tǒng)生成開始進行調(diào)整，而且需要通過更新在現(xiàn)場系統(tǒng)中不斷調(diào)整。這是一個永無止境的挑戰(zhàn)?！?/p>

Jack Pokrzywa 也指出，任何運行在軟件上的設備都可能遭到黑客攻擊。要解決這些問題，就需要行業(yè)內(nèi)，特別是 OEM 及其供應鏈之間的高度知識共享。美國的汽車信息共享和分析中心（Auto-ISAC）就是這樣的組織。行業(yè)成員共享和分析有關車輛可能面臨的任何風險的信息，從而有助于加強網(wǎng)絡安全技術。但是，“還需要一個全球性的整體方法?！?/p>

用整體方法解決汽車安全問題

需要全球行動

Scharfenberger Fabian 博士說，將供應鏈上的流程和方法作為汽車系統(tǒng)工程中考慮網(wǎng)絡安全的基礎至關重要?！坝性S多既定的 IT 安全國際標準（如 ISO/IEC 27xxx 系列）或行業(yè)特定的安全標準（如針對工業(yè)控制系統(tǒng)的 IEC 62443 系列），但并不能滿足汽車行業(yè)的特定需求，”他說。

早在 2015 年，SAE 就成立了車輛網(wǎng)絡安全系統(tǒng)工程委員會（Vehicle Cybersecurity Systems Engineering Committee），以應對美國市場上的相關威脅和漏洞。一年后，該委員會發(fā)布了 SAE J3061《網(wǎng)絡物理車輛系統(tǒng)網(wǎng)絡安全指南》，定義了一個完整的生命周期過程框架，將網(wǎng)絡安全納入網(wǎng)絡物理車輛系統(tǒng)中，涵蓋了從概念階段到生產(chǎn)、運營、服務和報廢的整個過程。

一切為了安全

與 ISO 26262 有何不同？

ISO/SAE 21434 標準草案基于兩個主要因素來衡量風險：攻擊發(fā)生的可能性和威脅實現(xiàn)時的影響。該標準還引入了網(wǎng)絡安全保證級別（CAL）的概念，它可以解釋一個系統(tǒng)必須受到多大程度的保護以防受到攻擊?；?CAL，一個組織會相應地擴展其網(wǎng)絡安全活動，也就是說，應根據(jù) CAL 使用或多或少的嚴格性。CAL 和風險有聯(lián)系，但不一樣，需要區(qū)分 CAL 和動態(tài)風險因素（使 CAL 盡可能保持穩(wěn)定）。

CAL 與其他概念的關系

這一理念與 ISO 26262 中針對功能安全規(guī)定的汽車安全完整性等級（ASIL）類似，ASIL 意在處理特定汽車系統(tǒng)的故障風險。事實上，在評估安全風險時，新標準也指出，影響程度必須根據(jù) ISO 26262 等級進行評估。

兩者的關鍵區(qū)別在哪里呢？
·在于從動態(tài)角度考慮風險：網(wǎng)絡攻擊的可行性會隨著時間的推移而改變。一個系統(tǒng)可能在某一天不受攻擊，但第二天就可能癱瘓了。

·標準草案的第二個主要部分列出了在產(chǎn)品生命周期內(nèi)管理網(wǎng)絡風險的最佳實踐。從一開始的設計、開發(fā)到制造，網(wǎng)絡安全就必須融入到公司流程中。最佳實踐還包括車輛在現(xiàn)場時暴露漏洞的情況，同時還規(guī)定了當車輛報廢或出售時要采取的行動，例如，清除系統(tǒng)中可能仍然存在的所有個人數(shù)據(jù)。

標準草案不會規(guī)定具體的網(wǎng)絡安全技術或解決方案。只要我們能以一種共同的方式討論我們所面臨的挑戰(zhàn)，各個公司就可以在其用來應對這些挑戰(zhàn)的技術和方案上各顯神通。

機會才剛剛顯現(xiàn)

那么，機會來了！隨著世界的聯(lián)系越來越緊密，我們的汽車也不例外。但更大的連通性使汽車工程網(wǎng)絡安全成為了一個風起云涌的行業(yè)。對黑客的這場戰(zhàn)斗還遠未打贏，因此，需要大量的裝備和彈藥！

網(wǎng)絡安全是個大生意，尤其是在車輛方面。對全球汽車網(wǎng)絡安全市場價值的各種估計表明，到 2025 年，全球汽車網(wǎng)絡安全市場將從 2019 年的 24 億美元增長到約 60 億美元。但是，盡管這個行業(yè)蒸蒸日上，面對黑客攻擊的戰(zhàn)爭才剛剛開始。

標準畢竟只是標準

對于一個習慣于分解復雜挑戰(zhàn)和標準化響應的行業(yè)來說，網(wǎng)絡安全仍然是一個不規(guī)范的反?，F(xiàn)象。那么，《標準》能保證真正的網(wǎng)絡安全嗎？Markus Tschersich 博士一聲嘆息：“唉，沒有所謂的‘安全技術’可以被標準化?！彼f：“所以，僅僅遵循 ISO/SAE 21434 并不能使汽車安全。但其中所述的流程無疑可以為良好的網(wǎng)絡安全工程奠定基礎，并有助于加強合作。”

因為，《標準》包括了對網(wǎng)絡安全風險的評估，還有識別和協(xié)調(diào)系統(tǒng)網(wǎng)絡安全解決方案，以及在供應鏈上進行溝通的方法，其中包括道路車輛電氣和電子系統(tǒng)（包括其部件和接口）的概念、開發(fā)、生產(chǎn)、操作、維護和報廢。

還沒有結束

人們對標準草案的興趣極高。聯(lián)合國歐洲經(jīng)濟委員會第 29 工作組引用 ISO/SAE 21434 作為滿足歐洲法規(guī)（現(xiàn)在標記為 UN-1R55）要求車輛具有網(wǎng)絡安全管理系統(tǒng)的方法。這些要求已獲批準，并將于 2022 年夏季在歐盟具有約束力。

現(xiàn)在，OEM 必須將網(wǎng)絡安全視為其核心業(yè)務職能和研發(fā)工作的組成部分，并要求其供應商確保符合標準，最終將推動整個行業(yè)的采用。各國政府也有可能推動 ISO/SAE 21434，監(jiān)督其采用和有效性。

Jack Pokrzywa 說：“我不認為我們能阻止破壞系統(tǒng)的企圖，但通過提高安全壁壘，我們當然可以降低風險?！边@也將控制開發(fā)和維護成本，對所有行業(yè)參與者來說都是雙贏。

除了 ISO/SAE 21434，汽車行業(yè)還將繼續(xù)制定通用網(wǎng)絡安全標準，以確保可管理的端到端安全解決方案，包括即將出臺的網(wǎng)絡安全工程審計標準。這項工作才剛剛開始，由于汽車行業(yè)力圖在汽車生產(chǎn)過程的每一步都確保汽車系統(tǒng)的安全，將使我們駕駛的汽車越來越安全，安全的車輪也將繼續(xù)滾滾向前。
?