車輛資安的重要性
現今的連網汽車環境需要汽車網路安全來保護電子系統、通訊網路和軟體免受未經授權的存取、操縱和利用。借助V2X車聯網連接、邊緣運算和 OTA 更新,新型汽車更容易透過 ECU 和資訊娛樂系統遭受到外部攻擊。這些漏洞可能導致資料外洩、非法遠端控制和系統故障。
ISO/SAE 21434 和 UNECE WP.29 制定了在車輛整個使用壽命期間控制這些風險的規則。安全措施包括加密和身份驗證,可防止非法訪問,而入侵檢測系統則監視網路流量是否有可疑活動。此外,整合AI人工智慧和區塊鏈技術可以加強防禦能力。汽車安全需要定期風險評估、安全規範和行業標準的遵循。
連網和自動駕駛汽車的興起
汽車技術的演變
電子和軟體整合改變了汽車技術。現代汽車包含大約 1 億行用於引擎管理和 ADAS 的程式碼。由於這些系統的複雜性,汽車系統必須具備強大安全性以防止網路攻擊。
ISO 26262 保證功能安全,同時檢查所有車輛軟體是否有安全風險。隨著電動車(EVs)和軟體定義車輛SDV 的成長,汽車工程師推動高效能電腦和邊緣處理嵌入車輛中。這些技術使汽車能夠即時消化大量數據,以降低延遲並提升自動駕駛的決策能力。
提高車輛的連接性
隨著車輛連接性的提升,V2X 解決方案使行動物聯網設備成為可能。 V2X 透過 V2V、V2I 和 V2N 通訊提高交通效率和安全性。然而,這樣的連結增加了攻擊面,凸顯汽車安全的重要性。
Yuga Labs 的現代和 Genesis 車輛遠端控制問題凸顯了對安全通訊協定和加密的需求。此外,製造商必須防止OTA更新在傳輸過程中被攔截或篡改,這也使安全性變得複雜。到 2030 年,當連網車輛佔新車總數的 96% 時,充足的網路安全措施應能避免資料外洩和未經授權的存取。
自動駕駛汽車的介紹及其對網路安全的依賴
由於自動駕駛汽車具有即時數據處理和多功能軟體系統,因此需要網路安全保護。邊緣運算和私有5G網路讓自動駕駛汽車根據感測器和攝影機資料做出即時決策。然而,汽車系統的安全性至關重要,因為漏洞可能會導致災難性故障。 在Car Hacking Village Def Con 28 研究發現,來自不同製造商和供應商的40個電子控制單元ECU中存在300多個漏洞。
依照標準的規定,網路安全應納入車輛的設計和退役過程中。此外,用於安全 V2X 通訊的區塊鏈和基於人工智慧的入侵檢測系統也進一步加強安全性。隨著自動駕駛技術的擴展,強大的網路安全協議可以確保車輛和乘客的安全。
潛在威脅和漏洞
● 駭客攻擊和未經授權的存取:駭客攻擊是指破壞車輛系統以獲得未經授權的存取。攻擊者利用車輛電子控制單元(ECU)的漏洞,透過重新編程和韌體刷新進行攻擊。例如,發送更改的 CAN 訊息可能會導致引擎失效或控制轉向。因此,汽車安全必須優先考慮身份驗證和加密方法,以避免此類漏洞。
● 惡意軟體和勒索軟體攻擊:勒索軟體透過惡意軟體滲透車輛系統造成破壞。具體來說,勒索軟體會對關鍵資料進行加密,以要求贖金才能發布。它可以使整個車隊無法動彈,同時引發安全風險。因此,人工智慧驅動的入侵檢測系統IDS 可以即時分類和緩解此類威脅。
● 資料外洩和隱私問題:資料外洩意味著非法存取車輛中的敏感資訊。駭客可以透過受感染的資訊娛樂系統提取 GPS 資料、聯絡方式和個人資訊。資料傳輸加密和區塊鏈技術可以增強車輛的資料保護和隱私。
● 遠端利用和控制:透過遠端利用,攻擊者可以遠端控制車輛功能。 V2X 通訊協定中的漏洞可能會引發中間人攻擊,駭客可以攔截和操縱數據。安全的通訊協定和軟體更新可以阻止對車輛安全的攻擊。
網路安全漏洞的影響
安全保障
汽車系統中的安全漏洞危及駕駛員和乘客。駭客可以操縱煞車、轉向和加速,從而引發事故或失控。此外,被入侵的資訊娛樂系統還可能提供對汽車攝影機和麥克風的不當訪問,同時侵犯隱私。 Synactiv 在十分鐘內入侵了Tesla Model 3 的資訊娛樂系統,控制了汽車的操作。這就是為什麼汽車系統安全對於當代車輛的安全性和可靠性至關重要。
財務影響
汽車系統安全漏洞會為製造商和客戶帶來巨大的財務後果。這些可能包括召回、維修和法律責任。例如,當Conti勒索軟體攻擊暴露客戶資料時,福斯和奧迪損失慘重。除此之外,安全措施和消費者賠償在駭客攻擊後可能會花費數百萬美元。為避免違規行為,建設網路安全基礎設施和定期監控是必要的,但這些也可能會損害汽車公司的利潤和營運。
消費者信任和品牌聲譽
網路安全漏洞損害了汽車品牌聲譽和客戶信心。當消費者的資料和安全受到威脅時,他們就會失去對品牌的信任,進而導致市場份額和銷售的減少。在競爭激烈的汽車產業,忽視網路安全的公司可能會迅速將市場佔有率輸給忽視網路安全的競爭對手。安全漏洞的負面新聞可能會持續影響,這使得公司很難重建客戶信心和市場份額。
法律和監管後果
汽車網路安全漏洞後,法律和監管後果非常重要。製造商必須遵循特定的網路安全標準。不合規可能會導致嚴厲的處罰、訴訟和營運限制。此外,監管機構希望汽車企業在整個車輛生命週期中管理網路安全風險。因此,遵循這些要求不僅是法律要求,而且有助於維護汽車系統安全並保護客戶和製造商免受網路攻擊。
法規和行業標準
ISO/SAE 21434 等業界標準為汽車安全從設計到退役提供完整的框架。 ISO/SAE 21434要求進行威脅分析和風險評估(TARA),因此 OEM 和供應商在整個開發過程中採用強大的網路安全保障措施。例如,安全編碼和風險評估有助於及早發現和解決漏洞。
該標準還強調需要靜態、動態和模糊測試等軟體驗證方法來發現安全漏洞。現代汽車的價值和安全性取決於對這些要求的遵守。例如,ISO/SAE 21434 要求嚴格的 ECU 安全性,以避免中間人攻擊和韌體重新編程。
此標準與 UNECE WP.29(規範網路安全管理系統 CSMS)共同保障車輛滿足全球安全標準。合規性與認證確保製造商遵守這些要求,以防止網路攻擊。例如,UNECE WP.29 標準要求主動管理安全,同時監控和報告網路安全事件。
FIC 的汽車網路安全策略
FIC 將汽車系統的安全性置於首位,並在 AR HUD 和數位儀表板技術中應用創新的網路安全措施。我們通過創新的加密和通訊方法來保護數據和隱私。我們與像 Cybellum 安全專家合作,使用風險評估和漏洞管理解決方案,來即時發現並應對威脅。Cybellum有助於預測安全漏洞並保護我們的汽車解決方案。我們進行深入測試,持續監控,並遵循全球網路安全標準。