汽車行業(yè)正經(jīng)歷一場數(shù)字革命，電動(EV)和自動駕駛汽車的普及正在徹底改變車輛的設(shè)計、制造和使用方式。科技進步為我們?nèi)粘ｑ{駛的汽車帶來了更強的安全性、更高的效率等諸多益處，但也帶來了新的網(wǎng)絡(luò)安全挑戰(zhàn)。

電動汽車的主要特征是智能化和網(wǎng)絡(luò)化，支持空中更新(OTA)、遠程管理、高級駕駛輔助系統(tǒng)(ADAS)和人工智能，這意味著網(wǎng)絡(luò)攻擊者可利用的攻擊途徑也大幅增加。

隨著電動汽車全球市場規(guī)模的快速增長，供應(yīng)鏈的全球化延伸，以及勒索軟件、地緣政治有關(guān)的APT和黑客活動主義的流行，跨國新能源車企們面臨的網(wǎng)絡(luò)安全威脅態(tài)勢日趨復(fù)雜和兇險，根據(jù)卡巴斯基最新發(fā)布的勒索軟件攻擊預(yù)測報告，2024年對物流和運輸公司的攻擊不再僅針對運營IT基礎(chǔ)設(shè)施，還會針對車輛本身，給車主造成直接的隱私、財務(wù)甚至生命威脅。此類攻擊無疑將給電動汽車企業(yè)帶來無法承受的品牌、市場和財務(wù)損失。

近日，REEAutomotive首席信息安全官YaronEdan接受了helpnetsecurity的采訪，就電動汽車行業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)和戰(zhàn)略發(fā)表了看法，整理如下：

問：您如何看待汽車行業(yè)，特別是電動和互聯(lián)汽車的網(wǎng)絡(luò)安全現(xiàn)狀?

答：汽車行業(yè)正在經(jīng)歷數(shù)字化突破，主要由電動和自動駕駛汽車的引入和普及驅(qū)動。科技進步貫穿于整個車輛生命周期，為我們?nèi)粘ｑ{駛的汽車帶來諸多益處，但也帶來了新的、迫切的網(wǎng)絡(luò)安全挑戰(zhàn)。

現(xiàn)在，我們的車輛越來越離不開互聯(lián)網(wǎng)，可以通過空中更新進行升級，使用遠程管理，搭載高級駕駛輔助系統(tǒng)和人工智能。這意味著網(wǎng)絡(luò)攻擊者可利用的潛在途徑大幅增加，威脅顯著增大。

問：汽車制造商采取了哪些措施來應(yīng)對最新車型中的網(wǎng)絡(luò)安全挑戰(zhàn)?

答：今天，汽車中的軟件越來越多，軟件正在“吃掉”汽車。汽車制造商面臨的首要挑戰(zhàn)在于供應(yīng)鏈，不僅是軟件供應(yīng)商本身，而是涉及到每個環(huán)節(jié)。汽車制造商需要從風(fēng)險管理的角度審視這個問題，找出每一個具體風(fēng)險的源頭和位置。供應(yīng)商必須參與這一過程，并遵循汽車制造商制定的安全指南。

第二個挑戰(zhàn)是軟件更新。隨著技術(shù)不斷發(fā)展，更多功能被添加，網(wǎng)絡(luò)犯罪分子會找到利用系統(tǒng)漏洞和缺陷的新方法，這些漏洞和缺陷可能是由于技術(shù)新穎而我們尚未意識到的。需定期為產(chǎn)品提供軟件更新，以修補系統(tǒng)漏洞，改善現(xiàn)有漏洞并提高產(chǎn)品性能。

為了應(yīng)對這些挑戰(zhàn)，汽車制造商需要進行初始風(fēng)險評估，了解汽車行業(yè)產(chǎn)品和供應(yīng)鏈各個層面的威脅類型和威脅行為者類型。根據(jù)初始風(fēng)險評估獲得的經(jīng)驗，必須制定一項程序，確保公司內(nèi)部和外部員工以及供應(yīng)商都清楚自己在公司安全維護中的角色。

該程序確定了汽車行業(yè)活躍的威脅行為者類型、他們的位置以及每個威脅的嚴(yán)重程度。這很復(fù)雜，因為威脅行為者遍布全球，數(shù)量龐大，每個組織都使用不同形式的攻擊，程度也有所不同。汽車制造商利用每天收集的信息來保護他們的資產(chǎn)。此外，還必須定期進行審計，評估每個供應(yīng)商和員工，以驗證程序是否正確執(zhí)行，是否需要更新等等。

問：您可以解釋一下車輛制造商如何將網(wǎng)絡(luò)安全整合到設(shè)計和開發(fā)過程中嗎?

答：一旦生產(chǎn)線啟動，將網(wǎng)絡(luò)安全整合到制造過程中的第一步是確保運營技術(shù)(OT)政策的安全，這意味著要了解風(fēng)險以及如何彌補漏洞。制造商必須處理OT威脅，而不是像計算機系統(tǒng)那樣處理威脅。這些威脅涉及數(shù)千種獨特的威脅，來自生產(chǎn)線、傳感器和其他參與制造過程的設(shè)備。

忽略這些威脅是非常危險的，因為所使用的設(shè)備非常簡單。假設(shè)你是一個黑客，想要入侵一家汽車制造商，你會發(fā)現(xiàn)攻擊云端或員工要遠比攻擊生產(chǎn)線困難得多，因為生產(chǎn)線使用的設(shè)備更容易被攻破，而且行動更容易被忽視。

問：您推薦汽車廠商采取哪些關(guān)鍵策略來保護互聯(lián)和電動汽車免受網(wǎng)絡(luò)威脅?

答：汽車企業(yè)必須采取積極的主動安全方法來應(yīng)對網(wǎng)絡(luò)安全威脅，而不是被動應(yīng)對。這可以讓安全團隊在威脅造成損害之前就避免威脅，而不是事后被動應(yīng)對。我推薦以下一些積極主動的策略：

• 進行風(fēng)險評估，以了解和優(yōu)先考慮當(dāng)前和未來的風(fēng)險。
• 制定全公司范圍的安全政策和程序，讓所有員工都清楚自己在維護安全方面的職責(zé)。
• 定期舉辦安全培訓(xùn)和意識項目，教育員工。
• 實施強大的網(wǎng)絡(luò)安全措施，包括防火墻、檢測系統(tǒng)和加密，定期監(jiān)控網(wǎng)絡(luò)流量是否有任何異常。
• 定期備份關(guān)鍵數(shù)據(jù)并將其存儲在安全位置。
• 制定全面的事件響應(yīng)計劃，概述在網(wǎng)絡(luò)攻擊期間采取的步驟。
• 定期進行安全審計，以評估安全措施的有效性并確定改進領(lǐng)域。
• 網(wǎng)絡(luò)安全是一個持續(xù)過程，需要根據(jù)不斷產(chǎn)生的新威脅隨時調(diào)整甚至重新制定安全策略。

問：監(jiān)管機構(gòu)在推動電動和互聯(lián)汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)方面發(fā)揮什么作用?

答：監(jiān)管機構(gòu)在推動網(wǎng)絡(luò)安全標(biāo)準(zhǔn)方面發(fā)揮著重要作用，但他們不會直接幫助車企保護其產(chǎn)品——這取決于汽車供應(yīng)鏈中的每個參與者。監(jiān)管機構(gòu)的目標(biāo)是向汽車制造商提供最佳實踐，包括在發(fā)生網(wǎng)絡(luò)攻擊時采取哪些步驟、與哪些參與者溝通以及根據(jù)威脅的嚴(yán)重程度進行多深入的調(diào)查。

一旦汽車制造商符合某些監(jiān)管規(guī)則，他們會要求監(jiān)管機構(gòu)進行現(xiàn)場訪問，進行長達數(shù)月的審計，嘗試攻擊他們所能攻擊的每個環(huán)節(jié)，尋找任何薄弱環(huán)節(jié)，并確定需要修補的地方。這個過程需要一直重復(fù)，直到汽車制造商完全合規(guī)。

問：消費者應(yīng)該了解哪些最佳實踐來確保其電動或互聯(lián)汽車的網(wǎng)絡(luò)安全?

答：消費者需要確保車輛采集的隱私數(shù)據(jù)得到充分的保護。例如，很多電動汽車用戶會選擇區(qū)公共充電站充電，但許多人并不知道，在公共充電站，車輛數(shù)據(jù)很容易被黑客攻擊，因為用戶不僅在傳輸電量，還在傳輸數(shù)據(jù)。

為了防止這種情況發(fā)生，車主需要在購買車輛前充分了解產(chǎn)品的(網(wǎng)絡(luò))安全性能，例如車企是否有完善的網(wǎng)絡(luò)安全程序，是否符合監(jiān)管機構(gòu)的要求等等。確保所有軟件都定期更新也非常重要。電動汽車用戶必須使用安全網(wǎng)絡(luò)從可信品牌官網(wǎng)或者官方應(yīng)用商店下載官方軟件。

除了汽車制造商之外，消費者也要對自己的(隱私)安全負(fù)責(zé)，更多了解電動汽車網(wǎng)絡(luò)安全知識，降低遭受攻擊的風(fēng)險。