如果真的想找到相關內容,那就要看壹些企業的戰略發布會了。比如,在本次車展上,哪咤汽車表示將與合作夥伴* * *成立智能安全聯合實驗室,在電池安全、車聯網信息安全、自動駕駛、智能安全技術等領域進行研發。
OTA大行其道,汽車信息安全是閉環嗎?
如果不知道如何判斷汽車行業對信息安全的重視程度,壹個明確但實際上不恰當的表征就是OTA的流行。
今年北京車展發布的新車中,OTA配置的出鏡率也很高。吉利有望在第四季度正式發布星銳、奇瑞新能源純電動SUV Ant、沃爾沃的量產車XC40。充值和本田的概念車本田?SUV?概念...無論是國內還是海外品牌,OTA出現的場合越來越多。造車新勢力就更不用說了,特斯拉作為新車的代表,玩OTA玩得很起勁,放出豪言要打敗或超越特斯拉的年輕壹代,沒有OTA都不好意思出門。
“沃爾沃XC40新能源”
客戶有需求,供應商自然需要跟上。華為在北京車展前壹天舉辦了智能汽車解決方案生態論壇,論壇上發布的華為智能汽車雲服務2.0包含OTA功能。博世等零部件企業也展出了OTA相關解決方案。
軟件和固件可以在線更新,之前系統存在的問題可以及時彌補,不需要依賴召回流程。OTA的應用表明,汽車至少可以在壹定程度上應對信息安全方面可能存在的缺陷。早在2015-2016信息安全事故頻發時,通用就證明了通過OTA功能,通用修復了手機上車輛遙控App的漏洞,防止了變相解鎖和遙控請求。
隨著越來越普及,OTA正從原來的只服務於車載系統,逐漸普及到整車。從打補丁的叠代更新到固件的全面升級,更新的內容和範圍都在不斷擴大。這裏造車的新生力量也是壹個代表。可以看到,市面上的量產車,大部分都有SOTA+FOTA的功能,而且大部分在車輛推出後,其實都推出了壹些更新,以證明OTA並非無效。
OTA對信息安全的重要性,在壹些法規和標準中也能看出來。今年6月,世界車輛法規協調論壇(簡稱WP.29)發布了信息安全和軟件升級兩項法規,明確提到車輛必須具備OTA功能,才能進行安全相關的更新升級。按照WP.29官方的說法,這兩個規定將在2021和1正式生效,歐洲、日本、韓國已經明確表示會出臺。
OTA的流行並不直接意味著信息安全有保障。OTA只是保證信息安全的後續,是修復現有信息安全缺陷的手段。簡單的維護無法建立完整的信息安全體系,更不用說被OTA數據分發攻擊的潛在風險。要實現真正的信息安全,更為關鍵的是從設計之初就采取主動措施構建信息安全體系。
水面下沸騰
如果要從熱點事件看行業對信息安全的關註度,應該是2014年初,2015年集中爆發,2016年達到高峰,2017年余溫,然後開始斷崖式下跌。但事實是,自2015舉世聞名的Jeep被黑召回事件以來,信息安全這個詞就從未停止過對汽車行業的“折磨”。而且這種折磨的範圍還在擴大,基本上是沿著車聯網的軌跡,充分說明了網絡上的汽車有多不安全。
事實上,隨著車聯網的普及,車聯網上的部件增多,與外界連接的端口增多,因此攻擊範圍本身增大,信息安全風險也隨之增大。從逐漸曝光的信息安全事件中也可以看出這壹點。
最早的信息安全事件基本都與車載藍牙鑰匙和OBD設備有關。此後,隨著智能手機的普及,移動車輛遙控app開始出現,安全漏洞範圍加大;後來,它開始專註於智能車輛系統和具有聯網功能的雲服務...可以說,隨著車聯網的實現,網絡攻擊的門檻在逐漸降低,實現方式也越來越簡單。從早期需要硬件設備,到後來只要有電腦或者手機和網絡,攻擊範圍也從前端移到了後端。而且隨著電動化和* * *享化的推進,聯網充電樁和車載* * *享app也為汽車提升信息安全提供了新的突破口。
正是這些相關事件教會了汽車行業如何做好信息安全:從最基本的身份驗證,到保證系統間獨立的信息安全閘門;從針對某個部件或某項功能的單壹安全措施,發展到在設計時就充分考慮的整體解決方案,並增加了與安全相關的測試和驗證功能;從軟件解決方案到硬件解決方案,雖然很少,但是已經有壹些車企開始在車輛上使用具有信息安全功能的硬件芯片。接口安全、通信過程安全、安全邊界的建立和劃分、安全檢測、保護和升級都是在這個過程中改進的。
從燒油的爆炸到水下火山的沈寂,不過是汽車行業壹貫的“慢脾氣”。熱點事件引起的關註和最終的布局往往有很大的距離。
信息安全是壹項系統工程。
早期對信息安全的認識阻礙了其在汽車行業的發展。在車聯網的早些年,汽車行業在信息安全方面還是新手,甚至很多企業根本沒有信息安全的概念。經過三四年的發展,汽車行業真正開始進行信息安全相關的研究。
2018年,國家市場監督管理總局缺陷產品管理中心選取多種車輛進行信息安全測試,發現63%的聯網車輛存在壹定的安全隱患。未來,隨著聯網的普及,尤其是車路協同技術提上日程後,以汽車為中心的聯網輻射範圍更加廣泛,信息安全成為必須。
信息安全是壹個系統工程。實現信息安全,必須建立從設計開發、制造到售後全生命周期的完整安全防護體系,形成安全設計、測試驗證、監督管理和更新維護的閉環。目前,無論是國際還是國內,信息安全都是從法規和標準的角度,從頂層設計進行部署和實施的。
國際上,如上所述,WP.29將於明年強制執行的兩個法規,可以視為壹個明顯的信號。此外,國際標準化組織(ISO)和美國汽車工程師學會(SAE)也在聯合開展道路車輛信息安全工程聯合標準——ISO/SAE?編制21434。據官方介紹,該標準將從信息安全工作流的角度出發,做出相關定義,提出參考性的信息安全工作流框架,建立便於各方溝通的通用標準。本標準不涉及與信息安全相關的具體技術或解決方案。
國內信息安全相關法律制度和標準也在逐步完善。2017年,工信部、發改委、科技部聯合發布的《汽車產業中長期規劃》明確提出,要把信息安全作為智能汽車的重要目標和任務。今年2月,國家發改委會同網信辦等部門發布了《智能汽車創新發展戰略》,明確提到要構建智能汽車網絡安全體系,其中制定網絡安全法律法規、建設網絡安全等級相關標準、建立安全管理制度和責任體系是重點內容。美國國家汽車標準協會等組織正在研究制定各種汽車信息安全相關的技術標準。
總結
不同於物理保護的安全,汽車信息安全前期投入的價值很難量化。並不是通過加入像AEB這樣的技術來逐步提高安全性能,而是通過建立安全防護體系和持續監管來提高外部攻擊的成本來保證安全。
因此,信息安全是壹場攻防博弈。在具備了基本的信息安全流程和風險管理措施後,後續的威脅統計和風險評估工作都是持續性的防禦手段。在行業內,不同車企之間有著更無形的博弈。就像安全性能會是消費者買車時的重要評價因素壹樣,信息安全防護能力也會是黑客攻擊時的評價因素。弱點越明顯,企業就越沒有準備,承擔的風險就越大。(文/汽車之家評論員?孔昭)