欧盟车辆新法规问世，要求注重网络安全和软件更新

国家公路交通安全管理局（NHTSA）发布了有关现代车辆安全的网络安全最佳做法的更新。此更新的时间及其新建议表明汽车行业在网络安全方面正在发生重大变化。尽管NHTSA文件提供了非约束性指南，但该更新与两个具有约束力的新的欧盟汽车网络安全法规保持一致。联合国欧洲经济委员会（UNECE）世界统一车辆法规论坛（WP.29）于2020年6月通过了这些法规，并于2021年1月生效。

欧盟新法规的第一个要求汽车制造商在其整个生命周期中将网络安全实践纳入其组织、开发过程以及对汽车网络安全的支持。第二项法规要求制造商支持软件更新，并且如果发现漏洞，则要支持软件管理系统以跟踪要更新的软件。这些法规还要求维护文档，以便第三方可以确认遵循了网络安全实践以进行审核。

在考虑汽车的开发周期时，支持这些法规的时间很短，新车型必须在2022年7月之前达到要求。所有新生产的车辆都必须在2024年7月之前达到要求。这两项法规将波及全世界向欧洲销售的所有汽车制造商，并将在组织和运营层面上对其产生影响。

新的NHTSA文件提供了常规和技术最佳实践指南。在一般最佳实践部分中，通过引用ISO / SAE 21434与WP.29法规建立了联系。ISO/ SAE 21434是网络安全框架，是WP.29法规的参考实现。它是与新法规并行开发的，并与WP.29组进行了沟通。因此，与ISO / SAE 21434的统一基本上是与欧盟法规的统一。

NHTSA文件中提出了43项一般最佳实践建议，其中14项涉及对ISO / SAE 21434的具体引用。另外14项可以直接映射到21434。NHTSA的四项建议是具体的，很可能会被NHTSA的结果所涵盖。 21434个进程。剩下的21个NHTSA最佳实践未由21434实施解决，因此除了应用21434流程外，还需要特别考虑。

NHTSA文档还引用了Auto-ISAC的七个最佳实践指南系列。Auto-ISAC是行业支持的信息共享组织，具有章程，可促进汽车公司之间就被利用漏洞进行协作并及时进行沟通。Auto-ISAC指南涵盖了各种网络安全主题，从培训到产品开发，再到事件响应。

由于最近发生了SolarWinds黑客事件，另一个热门话题是供应链安全。就SolarWinds而言，恶意软件已添加到SolarWinds的软件构建系统中，并成为其经过身份验证的软件更新的一部分。超过18,000个公司和政府机构网络受到了SolarWinds软件更新的影响。这次攻击突显了供应商提供的软件的安全性多么重要，NHTSA文件和ISO/SAE 21434都解决了这个问题。概述的方法是与供应商进行积极沟通，以明确网络安全要求并识别和管理与供应商相关的风险。

NHTSA文件的技术最佳实践部分做了ISO/SAE标准无法做到的——提供特定的技术指导来减轻网络安全威胁。 21434努力适用于各种情况和组件，因此不能太具体。就安全性要求而言，不同的设备将具有不同级别的需求。 NHTSA提出的建议是网络安全保护参考，甚至总体上适用于IoT设备。如果您的嵌入式计算设备具有网络接口，则应考虑NHTSA的技术建议，包括：

关闭设备生产版本上的调试端口

保持用于访问的加密凭据（例如密码，密钥，证书）

对安全至关重要的通信实施消息身份验证

保留事件日志

帮助识别网络安全攻击

将连接到无线接口的外部网络视为不可信

保护开放的Internet协议（IP）端口

确保软件更新是安全的（例如，验证软件更新）

许多技术建议均基于本文档中引用的14个已利用漏洞。这是一组很好的参考，包括BlackHat和DefCon演示。

NHTSA文件为草稿，并在征求意见中。

在进行中的重大网络安全变化方面，汽车公司之间有着极好的协作精神。竞争对手聚集在Auto-ISAC以及ISO和SAE委员会等论坛上，就网络安全进行探讨。人们普遍认识到，网络安全不应被视为竞争优势，而是所有车辆中强大的网络安全将使所有人受益。 NHTSA提出的更新的“现代车辆安全网络安全最佳实践”建议表明了这些变化，并通过ISO / SAE 21434与欧洲的新法规保持一致。汽车制造商已经并将继续在网络安全方面进行大量投资。欧洲法规将要求这样做，这将对全世界的汽车运营产生积极的后续影响。