车联网还没实现前,汽车就被黑客盯上了。
仅2015年,就有两起因信息网络安全问题产生的大规模召回事件:宝马因Connected Drive功能存在漏洞,召回220万辆汽车;菲亚特克莱斯勒因“存在远程控制发动机、转向系统,以及其他车载系统等被黑客攻击的风险”,在美国召回140万辆。
(资料图)
对于用户,漏洞意味着安全风险,对于车企,超百万辆规模的召回,意味着品牌形象的伤害和巨额的损失。
如今,随着车联网技术和汽车智能化的发展迭代,汽车从「机械」属性产品逐渐成为一个小型数据中心,同时也逐渐成为黑客高频攻击对象。
为确保车辆、司机、乘客乃至整个社会的安全,汽车行业必须加快主动措施,其中,相关的标准法规建设必不可少。
近日,「智车星球」独家获悉,强制性国家标准《汽车整车信息安全技术要求》最快将于今年下半年报批。
法律层面看,该标准的制定推出填补了当前汽车整车领域信息安全关键性基础技术要求的空白,能够帮助智能网联汽车的生产企业和相关机构更好地实现并验证整车信息安全需求。同时,能够合理规避车辆信息安全与数据安全隐患,避免漏洞破解与群体性非法控车。
而对于汽车行业,强标的推出意味着一些新的挑战与变化即将或已经到来。
1
—
两个认证:CSMS和VTA
《汽车整车信息安全技术要求》(以下简称“《要求》”)并不是一个全新的标准,其主体内容来自于2020年6月联合国世界车辆法规协调论坛(WP.29)发布的智能网联汽车法规R155(Cybersecurity)。
它是全球第一个汽车信息安全强制法规,适用于《1958年协定书》(联合国于1958月20日在日内瓦制定了《关于采用统一条件批准机动车辆装备和部件并相互承认此批准的协定书》)下的成员国。
当前,该协议的缔约方已增加到54个,其中包括所有欧盟国家和其他OECD(经合组织)国家。虽然中国不是其中,但生产的汽车只要销售到这些国家中就必须符合R155的要求。因此,近些年在《1958年协定书》成员国有出口业务的车企,对R155并不陌生,甚至获得认证成为了这些出海企业的一个宣传点。
本质上,《汽车整车信息安全技术要求》就是R155的汉化版本,当然两者在一些细节上会有一定差异,比如在安全审计、V2X 身份认证等方面,《要求》会有单独体现。另外,在国家比较重视的身份认证、密码安全、数据安全等细节上,《要求》会有更详细的规定。
适用车型上,《要求》与R155一致,基本涵盖了乘用车和商用车的适用范围,适用于M类车型、N类车型、至少装备了一个ECU的O类车型以及具备L3级及以上自动驾驶功能的L6和L7类车型。
R155合规认证主要分为两部分,一是网络安全管理体系认证(CSMS,Cyber Security Management System);二是车辆网络安全型式认证(VTA,Vehicle Type Approval)。
CSMS认证主要审查车企的信息安全管理系统是否涵盖开发、生产和后生产阶段,以确保汽车全生命周期中都有对应的流程措施,从而保证信息安全设计、实施及响应均有流程体系指导。
车企拿到这项认证,意味着具备覆盖车辆全生命周期的网络安全管控、数据安全保障、安全研发和测试、漏洞和威胁响应等重要安全能力。
拿到CSMS认证的前提下,车企才能对具体车辆进行VTA认证。该认证是针对信息安全开发中具体的工作项进行审查,旨在保证实施于车辆的信息安全防护技术在进行审查认证时足够完备。
获得CSMS认证后,可由制造商或授权代表提出VTA认证,该认证主要有以下技术要求:
1、识别和管理供应链的风险
2、识别车辆关键元素,并且进行详尽的风险评估,并适当处理/管理已识别风险,并采取削减措施
3、应针对识别的风险采取缓解措施
4、应确保存储或执行的售后软件、服务应用和数据的安全
5、应在型式认证之前,开展充分的测试
6、车辆制造商应针对待型式认证的车辆采取以下措施:
1)发现并防止网络攻击
2)支持在检测与车辆类型有关的威胁、漏洞和攻击方面的监测能力
3)提供数据取证能力,以分析尝试或已成功的攻击
7、密码算法:使用公认密码算法
《要求》正式开始实施后,CSMS认证(在国内名字可能有所改变)将成为车企的基本要求。对于蔚来、长城这类已经在R155法规覆盖国家展开业务的车企,在应对新强标时会相对从容。而对于此前在相关方面没有太多积累的企业,则需要花大力气快速补齐短板拿到新的「准入资格」。
从R155的实施时间来看,法案2021年1月22日正式生效后,针对新车型有48个月的过渡期,具体时间规划如下:
•2020年6月法案发布;
•2021年1月22日法案正式生效,开放申请CSMS证书和VTA证书;
•2022年7月起适用于新车型,从现有电子架构推出的新车系(即车辆类型)将需要获得网络安全系统型式认证,作为整车型式认证(WVTA,Whole Vehicle Type Approval)过程的一部分。即便是小改款车型,只要涉及车机、辅助驾驶等电子电器变化,就相当于是「新车系」,需要满足R155;
•2024年7月起适用于所有车型,尚未停产的车型必须获得网络安全系统的型式认证,才可以在相关市场销售。这意味着,之前车型可能需要通过修改或升级方案,满足R155。
•2022年-2024年两年内的现有架构新车型上市,若无法按照CSMS开发,则VTA必须证明在开发阶段已充分考虑网络安全;
•2025年1月过渡期结束,要求所有架构所有车型通过认证(CSMS+VTA)。
据智车星球了解,《要求》也将采取类似的实施节奏。
2
—
新的V字开发流程
有了新的标准限制,汽车的设计开发流程自然也要发生变化。类似于行业熟知的汽车V字型开发,汽车网络信息安全体系也有一套自己的V字开发流程。
车辆开发过程中,两个「V」会同步进行,既有交集,也会有相互矛盾的地方。
例如,在强调冗余功能安全层面,往往会有备用件的存在,一旦主件出现问题能快速切换;但对于信息安全,模块越多风险越高,此时就是两个「安全」的PK过程。当然,这需要结合具体产品的设计、企业的安全资产、导出的威胁模型等情况综合分析。
对于车企,信息安全体系V字的左边是搭建工作框架,包括安全方法论、安全框架、TARA标准、渗透测试标准、车外/车内安全需求、通讯安全需求等。这部分工作车企通常会委托德勤这类的咨询公司进行,咨询公司给到车企to do list,然后对应进行设计与搭建。
针对具体的车型将由车企进行TARA(威胁分析和风险评估)分析。该分析是通过计算已知和已登记目的网络威胁的影响和可行性来完成的,要求车企分析车辆整个生命周期的威胁和风险,以确定道路用户可能受到汽车网络威胁和漏洞的影响程度。
过程中,会有一些安全上的开发和改造,这可以由车企自己操作,也可以引入供应商。
TARA分析相当于搭建车辆安全的顶层设计,完成后车企会对上游零部件厂商提出相应的安全规范要求,并告知要做哪些相关工作。这便来到了「V」字的右边——生产和验证。
这可能会是一个往复的过程,大概的流程是零部件厂商接收到要求后,需要评估后设计,再通过TARA分析、渗透测试、Delta测试等验证步骤后再给车企提交报告,之后车企再进行验证。
当完成上述步骤,便要进入测试验证阶段,以确认在整个安全框架下所做的改造和设计是否存在漏洞,此时,就需要汽车信息安全检测服务供应商。
虽然现在很多车企都在建设对应的安全测试验证实验室,但由于安全难以自证「清白」,尤其在成为强制要求后,车企对网络安全方面的实施支持以及评估和认证服务的需求将进一步提升。
3
—
第三方服务商的机会
根据麦肯锡发布的《应对汽车信息安全的挑战》报告,到2030年,网络安全流程和解决方案市场的总和(包括执行这些活动所需的人员和工具)预计将达到34亿美元,其中网络安全流程的市场规模为24亿美元。
△截图来自麦肯锡《应对汽车信息安全的挑战》
网络安全流程包括与软件跟踪、风险管理、法规要求、流程合规性的认证/测试以及事件响应相关的活动,市场规模将在2025年左右达到顶峰,这取决于客户对质量的期望和不断增加的网络威胁,以及关于网络安全和软件更新的法规。在进行初始投资以实现合规性后,后续投资和扩展工作将减少。
其中,风险管理基本由咨询公司承包,第三方服务商和车联网安全初创企业重点放在了软件供应链安全以及流程合规性的认证/测试上。
前者主要包括整个开发过程中软件版本的管理、漏洞的覆盖、根据软件更新来验证不同组件版本之间的兼容性、根据软件更新评估对安全相关组件的影响等。这块服务并非一锤子买卖,而是跟随汽车的整个生命周期不断迭代,就像购买一个工具或服务后,每年会有订阅服务费一样。
而在检测和认证层面,目前来看,第三方的检测认证技术只是一个入门门槛,核心在于第三方服务商是否具有公信力、成为官方认可的检测认证结构。
除了上述业务之外,第三方供应商也可以在服务过程中打造出合规检测平台工具。据星舆车联网安全实验室主任许斯亮介绍,目前有不少做汽车传统功能安全检测的机构有拓展汽车网络信息安全检测业务的需求,但由于缺乏研发能力,便选择购买检测工具进行相关操作。
4
—
新的挑战
根据Upstream Security发布的《2022年全球汽车网络安全报告》,全球联网汽车将从2018年的3.3亿辆增长到2023年的7.75亿辆,增幅达134%。增长过程中,汽车行业受到的网络攻击规模、频率和复杂程度都在呈指数级增长,影响的范围也有所扩大,比如电动汽车充电站、保险、智慧城市等。
△截图来自《2022年全球汽车网络安全报告》
长远看,汽车网络安全发展将成为必然趋势,即将推出的《汽车整车信息安全技术要求》只是一个开始,基于R156法规的强制性国家标准《汽车软件升级 通用技术要求》也会在之后推出。随着汽车智能化的发展,有关自动驾驶数据记录系统、自动驾驶预期功能安全等相关标准也会不断完善。
能预见的是,这些强制性标准的推出,会让汽车在开发生命周期中有更高的严格性、更多的功能要求以及更大的投资。
这给车联网安全从业者提供了机会,可以通过提供新产品、新服务来拓展业务。
对于车企,这是一次极好的提升企业竞争力的机会,当然,难度并不低。除了上述提到的采取更强大的工程要求和具有固有安全功能的体系结构设计形式,车企还需要具备对安全事件做出响应和监测、预防的能力。
后者不仅需要车企有「硬」实力,还需要车企对自身产品的漏洞有正确的认识态度。
由于网络信息安全涉及范围宽泛,有车企会选择充分利用白帽黑客和安全研究人员的力量和知识,实施激励计划,鼓励友好的黑客报告他们发现的漏洞,以使汽车被恶意利用之前修复问题。
但目前国内车企在面对类似的个人提交漏洞时,往往会有比较反感的态度,甚至会将其列入黑名单。
在去年10月举行的GeekPwn 2022安全极客大赛上,就出现了被选做目标车型的车企通过一些非常手段让参赛选手放弃「攻击」车辆的情况。
这方面,特斯拉可以说是做得最早,态度也最开放的车企。早在2013年特斯拉设立「特斯拉安全研究名人堂」(Tesla Security Researcher Hall of Fame),鼓励对特斯拉车辆的漏洞进行合理披露,并承诺不会采取法律手段或请求执法机关对合理披露者进行调查。
国内车企如理想、蔚来、小鹏、极氪等新品牌车企也在近两年跟进,建立了自己的SRC(安全应急响应中心),鼓励白帽黑客对车企授权测试的资产开展全面的漏洞发现与反馈风险。
车辆信息安全是全新的长远的工作,无论是政策层面强制性的法规标准,还是车企自发的安全防护行为,都仅仅是车联网安全防护的起点,网络技术的更新迭代不会停止,给汽车这个传统机械行业的将是全新的挑战。