BSI全新发布汽车网络安全洞察报告

近日，BSI全新发布了《汽车网络安全洞察报告》，该报告聚焦于联网汽车的崛起和对不断增长的汽车网络安全需求，助力您应对行业在转型中遇到的挑战，满足新的网络合规要求。

本文将阐述这些主要变化如何转化为制造商面临的新的网络安全威胁和挑战，以及ISO/SAE 21434和BSI E2E互联汽车网络安全模型如何帮助您克服这些问题。

BSI全新发布汽车网络安全洞察报告

联网汽车的网络安全形势

联网自动驾驶汽车和无人驾驶汽车的概念已经并不新鲜。早在 1920 年代，人们就在自动驾驶系统 (ADS) 上进行实验，并在 1950 年代开始现场试验。1977 年，日本筑波机械工程实验室开发了第一款自动驾驶汽车，需要在带有专用标志的道路上行驶，由汽车上的两台摄像机通过模拟计算机识别标志。在高架轨道的辅助下，汽车的速度达到了惊人的 30 公里/时（19 英里/时）。

将近 50 年后，由于一系列颠覆性创新技术的相继出现，形势发生了巨大变化，汽车行业的发展超出了所有人的预期。伴随着工业 4.0、信息物理系统和数字化加速，该行业将在 2021 年迎来巨大变化。

例如，基于 AI 的自动驾驶汽车成为汽车行业的领跑者，而人工智能已经通过自动驾驶汽车实现了智能行驶模式，不再需要驾驶员而是依靠传感器和软件进行导航和控制。此外，据《研究与市场》(Research and Markets, 2020) 报道，联网功能已不再是汽车的可选功能，而是在设计上嵌入的功能。

汽车行业正处于大规模转型之中，这是自发明内燃机以来汽车行业所经历的最大变革，汽车制造商不再是硬件制造商，而是发展成为科技公司。

网络安全模式

对于一切联网事物而言，风险、漏洞和威胁无处不在。正如美国记者兼调查员Brian Krebs 所证明的那样，“一切都会被黑客攻击”，“企业和 IT 专业人员需要开始接受这个‘令人沮丧的现实’”。联网汽车行业也不例外。

这方面的例子不胜枚举。一些著名的数据泄露事件包括：2017 年本田遭到臭名昭著的勒索病毒WannaCry攻击，全球计算机系统受到严重破坏；2018 年，特斯拉公司、丰田汽车公司、大众汽车和菲亚特克莱斯勒汽车公司、福特汽车公司以及通用汽车公司被卷入一场数据泄露事件中，涉及公司商业机密的数千份工厂记录文件遭到泄露。

最近，在 2020 年，特斯拉对一名前雇员提起诉讼，指控该雇员更改了公司源代码并将千兆字节的专有数据导出给未知第三方，致使公司遭受内部攻击，损失惨重。

汽车和互联市场领域呈现的其他主要趋势同样引人注目：

• “汽车市场”或“汽车商务”让最终用户能够在旅途中预订、订购和购买所有商品，让人们真正对汽车零售和汽车支付系统有了需求

  
  

• 按需功能是原始设备制造商 (OEM) 提供的基于订阅的服务，诸如定制照明、夜视助手和导航地图等

  
  

• 重点关注跟踪统计、移动和设计系统（例如Cedric/E Palette）的智能交通系统，以共享出行为主题

  
  

• 中立服务器平台，目前正在计划制定相关立法，以保护汽车售后市场参与者的利益

联网汽车的威胁因素

客户所面临的最大挑战是如何防范无处不在的威胁，汽车已成为各类恶意威胁因素的攻击对象。通过 USB 连接感染恶意软件。我们都知道，将不受保护的未知 USB 插入任何设备都会带来危险，而车载 USB 端口也是如此。

如果最终用户将应用下载到汽车仪表板和 CPU 中，也有可能会遭到攻击。无论是基于云的应用，还是本地应用，都需要在下载前进行验证和检查安全性。在下载任何汽车应用之前，都必须保持警惕。中间人 (MATM) 攻击也非常普遍，在这种攻击模式下，攻击者会在直接通信的两方不知情的情况下，对他们的通信进行秘密中转并可能更改通信内容，就像窃听别人的对话一样。

虽然可以采用多种方式来解决该问题，例如身份验证、密钥协商协议、篡改检测（会造成正常流程耗费更长时间）以及数字取证。数字取证显然是高级方式，但是可以使用事件取证来检查和监控可疑攻击行为，详细说明数据是否遭到泄露、发生攻击的位置，并提供威胁情报以补救情况。

汽车网络安全 – 应对行业转型中的挑战

行业面临的另一个挑战是缺少技术网络安全合规标准导致行业缺乏标准化，在 ISO/SAE 21434 出现之前，市场上还没有联网汽车网络安全标准*。

ISO 标准在车辆整个生命周期中建立了“设计安全性”。ISO/SAE 21434 提供了开发风险评估系统的模型，并详细说明了流程和工作产品。

可通过如下方式联系BSI，获取完整版《汽车网络安全洞察报告》，更全面地了解行业动态和分析观点。

• BSI全国热线：400 005 0046

  
  

• BSI邮箱：infochina@bsigroup.com

  
  

• 官方微信：BSI_China

报告作者介绍：

Mark Brown，BSI网络安全及信息韧性全球总经理

Mark 于 2021 年 2 月加入 BSI，负责在全球范围内整体推动网络安全及信息韧性的发展，重点关注物联网 (IoT) 战略以及 BSI 如何帮助客户应对网络安全和数据治理挑战。

Mark 在网络安全、数据隐私和业务韧性咨询方面积累了超过 25 年的专业知识。他之前曾在 Wipro Ltd. 和 Ernst & Young (EY) 等公司担任领导职务。他拥有丰富的知识，包括对物联网（IoT）及不断不扩大的网络安全市场具有广泛的了解，曾分别为财富 10 强和财富 500 强公司担任全球 CISO 和全球 CIO/CTO。他曾为消费品、零售/电子商务、法律、石油和天然气、采矿、技术、媒体、制造、IT 及房地产等众多行业和垂直行业的客户提供服务。

关于BSI集团

BSI是一家能够帮助组织将最佳实践标准转化为卓越习惯的业务改进公司。一个世纪以来，BSI始终致力于追求卓越并促进全球组织采用最佳实践。BSI在全球193个国家/地区拥有86,000多家客户，作为一家真正的国际企业，它拥有涵盖众多行业（包括汽车、航空航天、建筑环境、食品和医疗保健）的丰富技能和专业知识。凭借其在标准和知识解决方案、保障及专业服务领域的专业所长，BSI致力于帮助客户提升业务绩效以实现可持续增长、有效管理风险并最终打造更具生存力的组织。