注重网络安全态势，《汽车工业网络安全实践研究》发布

该报告由新思科技及国际自动机工程师学会联合发布

当汽车安全成为软件的一项功能时，软件安全问题就变得至关重要，特别是在涉及联网车辆和自动驾驶汽车等新兴领域时。然而，目前的软件安全并未与汽车行业的技术发展保持同步。

美国新思科技公司与国际自动机工程师学会（SAE International）于近日联合发布了《保护现代车辆的安全：汽车工业网络安全实践研究》报告。SAE International是一家协会，面向全球航空航天、汽车和商用车行业的工程师和相关技术专家。Ponemon 研究所在全球范围内面向汽车制造商和供应商进行访问研究，分析总结了影响汽车行业许多企业的关键网络安全挑战和不足。84%的受访者担心网络安全实践无法跟上日新月异的技术；30%没有成熟的产品网络安全计划或团队；63%仅测试不到一半的硬件、软件和其它技术，以寻找安全漏洞。

SAE International 地面车辆标准总监Jack Pokrzywa表示：“SAE很荣幸与新思科技合作，共同向大家呈现这项研究的结果。它提供了真实的数据，切实反映了整个行业网络安全专业人士的顾虑，并强调了行业发展的方向。过去十年，SAE成员一直致力于解决汽车系统开发生命周期中的网络安全挑战，并通过共同努力发布了SAE J3061™，世界上第一个汽车网络安全标准。以研究结果为可靠依据，SAE已经就绪号召整个行业，领导面向安全控制、技术培训、标准和最佳实践的开发，进而提升现代车辆的安全性。”

新思科技和SAE委托Ponemon 研究所开展调研，分析汽车行业当前的网络安全实践及其解决互联软件车辆固有的软件安全风险的能力。Ponemon是一家领先的IT安全研究机构。Ponemon访问了593名专业人员，他们来自全球汽车制造商、供应商及相关服务领域。为了保证收集上来有见地的反馈，所有受访者都需要参与评估或者从事汽车技术安全工作，包括信息娱乐系统、远程信息处理、 转向系统、摄像头、基于SoC系统的组件、无人驾驶及自动驾驶车辆，和WiFi及蓝牙等RF技术。

新思科技软件质量与安全部门联合总经理Andreas Kuehlmann指出：“汽车行业中软件、联网和其它新兴技术的激增促发了以前不存在的风险 —— 网络安全。这项研究强调了在整个系统开发生命周期和整个汽车供应链中全面解决网络安全的基本转变的必要性。幸运的是，解决这些挑战所需的技术和最佳实践已经存在了，新思科技已经做好准备，助力汽车行业解决这些难题。”

其它重要发现：

缺乏必要的网络安全资源和技能 。超过一半的受访者表示他们的企业没有为网络安全投入足够的预算和人力。62％的受访者表示，他们不具备在产品开发时所需的必要网络安全技能。

主动的网络安全测试不是企业优先考虑的事项。受访者指出他们仅对不到50％的硬件、软件和其它技术进行了测试，来确定它们是否存在漏洞。此外，71％的受访者认为，为了满足产品截止日期的压力是导致出现安全漏洞的主要因素。

开发人员需要网络安全培训。只有33％的受访者表示他们的企业会培训开发人员使用安全的编码方法。此外，60％的受访者表示缺乏对安全编码实践的理解或培训是导致漏洞的主要因素。

汽车供应链中的漏洞存在重大风险。73％的受访者非常关注第三方提供的汽车技术的网络安全状况。此外，只有44％的受访者表示，其企业对上游供应商提供的产品提出网络安全方面的要求。

网络安全不应被视为一个成本中心，也不应当在生产结束时才加以应对，而应当将其纳入系统工程流程的每个步骤中，以指导整个产品开发生命周期– 尤其是安全软件开发生命周期（SSDLC）。借鉴其他行业已经开发出的指南、最佳实践和标准，汽车公司能够享受到广泛的解决方案。这种实现网络安全的严格方法，对于实现增强的安保能力，同时确保安全性、质量和快速上市，都至关重要。