电动汽车的主要特征是智能化和网络化,支持空中更新(OTA)、远程管理、高级驾驶辅助系统(ADAS)和人工智能,这意味着网络攻击者可利用的攻击途径也大幅增加。
随着电动汽车全球市场规模的快速增长,供应链的全球化延伸,以及勒索软件、地缘政治有关的APT和黑客活动主义的流行,跨国新能源车企们面临的网络安全威胁态势日趋复杂和凶险,根据卡巴斯基最新发布的勒索软件攻击预测报告,2024年对物流和运输公司的攻击不再仅针对运营IT基础设施,还会针对车辆本身,给车主造成直接的隐私、财务甚至生命威胁。此类攻击无疑将给电动汽车企业带来无法承受的品牌、市场和财务损失。
近日,REEAutomotive首席信息安全官YaronEdan接受了helpnetsecurity的采访,就电动汽车行业面临的网络安全挑战和战略发表了看法,整理如下:
问:您如何看待汽车行业,特别是电动和互联汽车的网络安全现状?
答:汽车行业正在经历数字化突破,主要由电动和自动驾驶汽车的引入和普及驱动。科技进步贯穿于整个车辆生命周期,为我们日常驾驶的汽车带来诸多益处,但也带来了新的、迫切的网络安全挑战。
现在,我们的车辆越来越离不开互联网,可以通过空中更新进行升级,使用远程管理,搭载高级驾驶辅助系统和人工智能。这意味着网络攻击者可利用的潜在途径大幅增加,威胁显著增大。
问:汽车制造商采取了哪些措施来应对最新车型中的网络安全挑战?
答:今天,汽车中的软件越来越多,软件正在“吃掉”汽车。汽车制造商面临的首要挑战在于供应链,不仅是软件供应商本身,而是涉及到每个环节。汽车制造商需要从风险管理的角度审视这个问题,找出每一个具体风险的源头和位置。供应商必须参与这一过程,并遵循汽车制造商制定的安全指南。
第二个挑战是软件更新。随着技术不断发展,更多功能被添加,网络犯罪分子会找到利用系统漏洞和缺陷的新方法,这些漏洞和缺陷可能是由于技术新颖而我们尚未意识到的。需定期为产品提供软件更新,以修补系统漏洞,改善现有漏洞并提高产品性能。
为了应对这些挑战,汽车制造商需要进行初始风险评估,了解汽车行业产品和供应链各个层面的威胁类型和威胁行为者类型。根据初始风险评估获得的经验,必须制定一项程序,确保公司内部和外部员工以及供应商都清楚自己在公司安全维护中的角色。
该程序确定了汽车行业活跃的威胁行为者类型、他们的位置以及每个威胁的严重程度。这很复杂,因为威胁行为者遍布全球,数量庞大,每个组织都使用不同形式的攻击,程度也有所不同。汽车制造商利用每天收集的信息来保护他们的资产。此外,还必须定期进行审计,评估每个供应商和员工,以验证程序是否正确执行,是否需要更新等等。
问:您可以解释一下车辆制造商如何将网络安全整合到设计和开发过程中吗?
答:一旦生产线启动,将网络安全整合到制造过程中的第一步是确保运营技术(OT)政策的安全,这意味着要了解风险以及如何弥补漏洞。制造商必须处理OT威胁,而不是像计算机系统那样处理威胁。这些威胁涉及数千种独特的威胁,来自生产线、传感器和其他参与制造过程的设备。
忽略这些威胁是非常危险的,因为所使用的设备非常简单。假设你是一个黑客,想要入侵一家汽车制造商,你会发现攻击云端或员工要远比攻击生产线困难得多,因为生产线使用的设备更容易被攻破,而且行动更容易被忽视。
问:您推荐汽车厂商采取哪些关键策略来保护互联和电动汽车免受网络威胁?
答:汽车企业必须采取积极的主动安全方法来应对网络安全威胁,而不是被动应对。这可以让安全团队在威胁造成损害之前就避免威胁,而不是事后被动应对。我推荐以下一些积极主动的策略:
- 进行风险评估,以了解和优先考虑当前和未来的风险。
- 制定全公司范围的安全政策和程序,让所有员工都清楚自己在维护安全方面的职责。
- 定期举办安全培训和意识项目,教育员工。
- 实施强大的网络安全措施,包括防火墙、检测系统和加密,定期监控网络流量是否有任何异常。
- 定期备份关键数据并将其存储在安全位置。
- 制定全面的事件响应计划,概述在网络攻击期间采取的步骤。
- 定期进行安全审计,以评估安全措施的有效性并确定改进领域。
- 网络安全是一个持续过程,需要根据不断产生的新威胁随时调整甚至重新制定安全策略。
问:监管机构在推动电动和互联汽车网络安全标准方面发挥什么作用?
答:监管机构在推动网络安全标准方面发挥着重要作用,但他们不会直接帮助车企保护其产品——这取决于汽车供应链中的每个参与者。监管机构的目标是向汽车制造商提供最佳实践,包括在发生网络攻击时采取哪些步骤、与哪些参与者沟通以及根据威胁的严重程度进行多深入的调查。
一旦汽车制造商符合某些监管规则,他们会要求监管机构进行现场访问,进行长达数月的审计,尝试攻击他们所能攻击的每个环节,寻找任何薄弱环节,并确定需要修补的地方。这个过程需要一直重复,直到汽车制造商完全合规。
问:消费者应该了解哪些最佳实践来确保其电动或互联汽车的网络安全?
答:消费者需要确保车辆采集的隐私数据得到充分的保护。例如,很多电动汽车用户会选择区公共充电站充电,但许多人并不知道,在公共充电站,车辆数据很容易被黑客攻击,因为用户不仅在传输电量,还在传输数据。
为了防止这种情况发生,车主需要在购买车辆前充分了解产品的(网络)安全性能,例如车企是否有完善的网络安全程序,是否符合监管机构的要求等等。确保所有软件都定期更新也非常重要。电动汽车用户必须使用安全网络从可信品牌官网或者官方应用商店下载官方软件。
除了汽车制造商之外,消费者也要对自己的(隐私)安全负责,更多了解电动汽车网络安全知识,降低遭受攻击的风险。