汽車行業(yè)正經歷一場數(shù)字革命，電動(EV)和自動駕駛汽車的普及正在徹底改變車輛的設計、制造和使用方式?？萍歼M步為我們日常駕駛的汽車帶來了更強的安全性、更高的效率等諸多益處，但也帶來了新的網絡安全挑戰(zhàn)。

電動汽車的主要特征是智能化和網絡化，支持空中更新(OTA)、遠程管理、高級駕駛輔助系統(tǒng)(ADAS)和人工智能，這意味著網絡攻擊者可利用的攻擊途徑也大幅增加。

隨著電動汽車全球市場規(guī)模的快速增長，供應鏈的全球化延伸，以及勒索軟件、地緣政治有關的APT和黑客活動主義的流行，跨國新能源車企們面臨的網絡安全威脅態(tài)勢日趨復雜和兇險，根據卡巴斯基最新發(fā)布的勒索軟件攻擊預測報告，2024年對物流和運輸公司的攻擊不再僅針對運營IT基礎設施，還會針對車輛本身，給車主造成直接的隱私、財務甚至生命威脅。此類攻擊無疑將給電動汽車企業(yè)帶來無法承受的品牌、市場和財務損失。

近日，REEAutomotive首席信息安全官YaronEdan接受了helpnetsecurity的采訪，就電動汽車行業(yè)面臨的網絡安全挑戰(zhàn)和戰(zhàn)略發(fā)表了看法，整理如下：

問：您如何看待汽車行業(yè)，特別是電動和互聯(lián)汽車的網絡安全現(xiàn)狀?

答：汽車行業(yè)正在經歷數(shù)字化突破，主要由電動和自動駕駛汽車的引入和普及驅動。科技進步貫穿于整個車輛生命周期，為我們日常駕駛的汽車帶來諸多益處，但也帶來了新的、迫切的網絡安全挑戰(zhàn)。

現(xiàn)在，我們的車輛越來越離不開互聯(lián)網，可以通過空中更新進行升級，使用遠程管理，搭載高級駕駛輔助系統(tǒng)和人工智能。這意味著網絡攻擊者可利用的潛在途徑大幅增加，威脅顯著增大。

問：汽車制造商采取了哪些措施來應對最新車型中的網絡安全挑戰(zhàn)?

答：今天，汽車中的軟件越來越多，軟件正在“吃掉”汽車。汽車制造商面臨的首要挑戰(zhàn)在于供應鏈，不僅是軟件供應商本身，而是涉及到每個環(huán)節(jié)。汽車制造商需要從風險管理的角度審視這個問題，找出每一個具體風險的源頭和位置。供應商必須參與這一過程，并遵循汽車制造商制定的安全指南。

第二個挑戰(zhàn)是軟件更新。隨著技術不斷發(fā)展，更多功能被添加，網絡犯罪分子會找到利用系統(tǒng)漏洞和缺陷的新方法，這些漏洞和缺陷可能是由于技術新穎而我們尚未意識到的。需定期為產品提供軟件更新，以修補系統(tǒng)漏洞，改善現(xiàn)有漏洞并提高產品性能。

為了應對這些挑戰(zhàn)，汽車制造商需要進行初始風險評估，了解汽車行業(yè)產品和供應鏈各個層面的威脅類型和威脅行為者類型。根據初始風險評估獲得的經驗，必須制定一項程序，確保公司內部和外部員工以及供應商都清楚自己在公司安全維護中的角色。

該程序確定了汽車行業(yè)活躍的威脅行為者類型、他們的位置以及每個威脅的嚴重程度。這很復雜，因為威脅行為者遍布全球，數(shù)量龐大，每個組織都使用不同形式的攻擊，程度也有所不同。汽車制造商利用每天收集的信息來保護他們的資產。此外，還必須定期進行審計，評估每個供應商和員工，以驗證程序是否正確執(zhí)行，是否需要更新等等。

問：您可以解釋一下車輛制造商如何將網絡安全整合到設計和開發(fā)過程中嗎?

答：一旦生產線啟動，將網絡安全整合到制造過程中的第一步是確保運營技術(OT)政策的安全，這意味著要了解風險以及如何彌補漏洞。制造商必須處理OT威脅，而不是像計算機系統(tǒng)那樣處理威脅。這些威脅涉及數(shù)千種獨特的威脅，來自生產線、傳感器和其他參與制造過程的設備。

忽略這些威脅是非常危險的，因為所使用的設備非常簡單。假設你是一個黑客，想要入侵一家汽車制造商，你會發(fā)現(xiàn)攻擊云端或員工要遠比攻擊生產線困難得多，因為生產線使用的設備更容易被攻破，而且行動更容易被忽視。

問：您推薦汽車廠商采取哪些關鍵策略來保護互聯(lián)和電動汽車免受網絡威脅?

答：汽車企業(yè)必須采取積極的主動安全方法來應對網絡安全威脅，而不是被動應對。這可以讓安全團隊在威脅造成損害之前就避免威脅，而不是事后被動應對。我推薦以下一些積極主動的策略：

• 進行風險評估，以了解和優(yōu)先考慮當前和未來的風險。
• 制定全公司范圍的安全政策和程序，讓所有員工都清楚自己在維護安全方面的職責。
• 定期舉辦安全培訓和意識項目，教育員工。
• 實施強大的網絡安全措施，包括防火墻、檢測系統(tǒng)和加密，定期監(jiān)控網絡流量是否有任何異常。
• 定期備份關鍵數(shù)據并將其存儲在安全位置。
• 制定全面的事件響應計劃，概述在網絡攻擊期間采取的步驟。
• 定期進行安全審計，以評估安全措施的有效性并確定改進領域。
• 網絡安全是一個持續(xù)過程，需要根據不斷產生的新威脅隨時調整甚至重新制定安全策略。

問：監(jiān)管機構在推動電動和互聯(lián)汽車網絡安全標準方面發(fā)揮什么作用?

答：監(jiān)管機構在推動網絡安全標準方面發(fā)揮著重要作用，但他們不會直接幫助車企保護其產品——這取決于汽車供應鏈中的每個參與者。監(jiān)管機構的目標是向汽車制造商提供最佳實踐，包括在發(fā)生網絡攻擊時采取哪些步驟、與哪些參與者溝通以及根據威脅的嚴重程度進行多深入的調查。

一旦汽車制造商符合某些監(jiān)管規(guī)則，他們會要求監(jiān)管機構進行現(xiàn)場訪問，進行長達數(shù)月的審計，嘗試攻擊他們所能攻擊的每個環(huán)節(jié)，尋找任何薄弱環(huán)節(jié)，并確定需要修補的地方。這個過程需要一直重復，直到汽車制造商完全合規(guī)。

問：消費者應該了解哪些最佳實踐來確保其電動或互聯(lián)汽車的網絡安全?

答：消費者需要確保車輛采集的隱私數(shù)據得到充分的保護。例如，很多電動汽車用戶會選擇區(qū)公共充電站充電，但許多人并不知道，在公共充電站，車輛數(shù)據很容易被黑客攻擊，因為用戶不僅在傳輸電量，還在傳輸數(shù)據。

為了防止這種情況發(fā)生，車主需要在購買車輛前充分了解產品的(網絡)安全性能，例如車企是否有完善的網絡安全程序，是否符合監(jiān)管機構的要求等等。確保所有軟件都定期更新也非常重要。電動汽車用戶必須使用安全網絡從可信品牌官網或者官方應用商店下載官方軟件。

除了汽車制造商之外，消費者也要對自己的(隱私)安全負責，更多了解電動汽車網絡安全知識，降低遭受攻擊的風險。