车辆资安的重要性

Cybersecurity Concept, Future Technology and Cybernetics

现今的连网汽车环境需要汽车网络安全来保护电子系统、通讯网络和软件免受未经授权的存取、操纵和利用。借助V2X车联网连接、边缘运算和 OTA 更新,新型汽车更容易透过 ECU 和信息娱乐系统遭受到外部攻击。这些漏洞可能导致数据外泄、非法远程控制和系统故障。

ISO/SAE 21434 和 UNECE WP.29 制定了在车辆整个使用寿命期间控制这些风险的规则。安全措施包括加密和身份验证,可防止非法访问,而入侵检测系统则监视网络流量是否有可疑活动。此外,整合AI人工智能和区块链技术可以加强防御能力。汽车安全需要定期风险评估、安全规范和行业标准的遵循。

连网和自动驾驶汽车的兴起

汽车技术的演变

电子和软件整合改变了汽车技术。现代汽车包含大约 1 亿行用于引擎管理和 ADAS 的程序代码。由于这些系统的复杂性,汽车系统必须具备强大安全性以防止网络攻击。

ISO 26262 保证功能安全,同时检查所有车辆软件是否有安全风险。随着电动车(EVs)和软件定义车辆SDV 的成长,汽车工程师推动高效能计算机和边缘处理嵌入车辆中。这些技术使汽车能够实时消化大量数据,以降低延迟并提升自动驾驶的决策能力。

提高车辆的连接性

随着车辆连接性的提升,V2X 解决方案使行动物联网设备成为可能。 V2X 透过 V2V、V2I 和 V2N 通讯提高交通效率和安全性。然而,这样的连结增加了攻击面,凸显汽车安全的重要性。

Yuga Labs 的现代和 Genesis 车辆远程控制问题凸显了对安全通讯协议和加密的需求。此外,制造商必须防止OTA更新在传输过程中被拦截或篡改,这也使安全性变得复杂。到 2030 年,当连网车辆占新车总数的 96% 时,充足的网络安全措施应能避免数据外泄和未经授权的存取。

自动驾驶汽车的介绍及其对网络安全的依赖

由于自动驾驶汽车具有实时数据处理和多功能软件系统,因此需要网络安全保护。边缘运算和私有5G网络让自动驾驶汽车根据传感器和摄影机数据做出实时决策。然而,汽车系统的安全性至关重要,因为漏洞可能会导致灾难性故障。 在Car Hacking Village Def Con 28 研究发现,来自不同制造商和供货商的40个电子控制单元ECU中存在300多个漏洞。

依照标准的规定,网络安全应纳入车辆的设计和退役过程中。此外,用于安全 V2X 通讯的区块链和基于人工智能的入侵检测系统也进一步加强安全性。随着自动驾驶技术的扩展,强大的网络安全协议可以确保车辆和乘客的安全。

潜在威胁和漏洞

黑客攻击和未经授权的存取:黑客攻击是指破坏车辆系统以获得未经授权的存取。攻击者利用车辆电子控制单元(ECU)的漏洞,透过重新编程和韧体刷新进行攻击。例如,发送更改的 CAN 讯息可能会导致引擎失效或控制转向。因此,汽车安全必须优先考虑身份验证和加密方法,以避免此类漏洞。
恶意软件和勒索软件攻击:勒索软件透过恶意软件渗透车辆系统造成破坏。具体来说,勒索软件会对关键数据进行加密,以要求赎金才能发布。它可以使整个车队无法动弹,同时引发安全风险。因此,人工智能驱动的入侵检测系统IDS 可以实时分类和缓解此类威胁。
资料外泄和隐私问题:数据外泄意味着非法存取车辆中的敏感信息。黑客可以透过受感染的信息娱乐系统提取 GPS 数据、联络方式和个人信息。数据传输加密和区块链技术可以增强车辆的数据保护和隐私。
远程利用和控制:透过远程利用,攻击者可以远程控制车辆功能。 V2X 通讯协议中的漏洞可能会引发中间人攻击,黑客可以拦截和操纵数据。安全的通讯协议和软件更新可以阻止对车辆安全的攻击。

System hacked warning alert on notebook (Laptop). Cyber attack on computer network, Virus, Spyware, Malware or Malicious software. Cyber security and cybercrime.

网络安全漏洞的影响

安全保障

汽车系统中的安全漏洞危及驾驶员和乘客。黑客可以操纵煞车、转向和加速,从而引发事故或失控。此外,被入侵的信息娱乐系统还可能提供对汽车摄影机和麦克风的不当访问,同时侵犯隐私。 Synactiv 在十分钟内入侵了Tesla Model 3 的信息娱乐系统,控制了汽车的操作。这就是为什么汽车系统安全对于当代车辆的安全性和可靠性至关重要。

财务影响

汽车系统安全漏洞会为制造商和客户带来巨大的财务后果。这些可能包括召回、维修和法律责任。例如,当Conti勒索软件攻击暴露客户数据时,福斯和奥迪损失惨重。除此之外,安全措施和消费者赔偿在黑客攻击后可能会花费数百万美元。为避免违规行为,建设网络安全基础设施和定期监控是必要的,但这些也可能会损害汽车公司的利润和营运。

消费者信任和品牌声誉

网络安全漏洞损害了汽车品牌声誉和客户信心。当消费者的数据和安全受到威胁时,他们就会失去对品牌的信任,进而导致市场份额和销售的减少。在竞争激烈的汽车产业,忽视网络安全的公司可能会迅速将市场占有率输给忽视网络安全的竞争对手。安全漏洞的负面新闻可能会持续影响,这使得公司很难重建客户信心和市场份额。

法律和监管后果

汽车网络安全漏洞后,法律和监管后果非常重要。制造商必须遵循特定的网络安全标准。不合规可能会导致严厉的处罚、诉讼和营运限制。此外,监管机构希望汽车企业在整个车辆生命周期中管理网络安全风险。因此,遵循这些要求不仅是法律要求,而且有助于维护汽车系统安全并保护客户和制造商免受网络攻击。

法规和行业标准

ISO/SAE 21434 等业界标准为汽车安全从设计到退役提供完整的框架。 ISO/SAE 21434要求进行威胁分析和风险评估(TARA),因此 OEM 和供货商在整个开发过程中采用强大的网络安全保障措施。例如,安全编码和风险评估有助于及早发现和解决漏洞。

该标准还强调需要静态、动态和模糊测试等软件验证方法来发现安全漏洞。现代汽车的价值和安全性取决于对这些要求的遵守。例如,ISO/SAE 21434 要求严格的 ECU 安全性,以避免中间人攻击和韧体重新编程。

此标准与 UNECE WP.29(规范网络安全管理系统 CSMS)共同保障车辆满足全球安全标准。合规性与认证确保制造商遵守这些要求,以防止网络攻击。例如,UNECE WP.29 标准要求主动管理安全,同时监控和报告网络安全事件。

FIC 的网络安全策略

FIC 将汽车系统的安全性置于首位,并在 AR HUD 和数字仪表板技术中应用创新的网络安全措施。我们通过创新的加密和通讯方法来保护数据和隐私。我们与像 Cybellum安全专家合作,使用风险评估和漏洞管理解决方案,来实时发现并应对威胁。Cybellum有助于预测安全漏洞并保护我们的汽车解决方案。我们进行深入测试,持续监控,并遵循全球网络安全标准。