很大程度上由计算机模块、半导体和软件控制,如今的车辆更像是智能手机,而不是过去机械部件的滚动容器。对精密电子设备和传感器的日益依赖极大地提高了车辆性能、安全性和驾驶员和乘客的便利性,并创建了所谓的“互联车辆”网络。
为了展示复杂性如何增长,a已发布的车辆网络安全报告显示,自动驾驶车辆包含 3 亿至 5 亿行软件代码。将其与拥有 1500 万行代码的波音 787 梦幻客机商用飞机或拥有 1 亿行代码的梅赛德斯 C 级轿车等高档汽车进行比较。这不仅仅是车辆的复杂性。还有精湛的技术设计、工程和制造包含所有这些功能的汽车和卡车所必需的科学基础设施。
除了那些相同的技术之外,一切都很好,也是网络犯罪分子进入汽车制造商内部基础设施及其车辆的主要门户。他们的非法活动不仅威胁到乘员的安全,而且可能使原始设备制造商花费数百万美元来打击和维修。他们可以通过控制车辆造成混乱,威胁乘员的安全。网络罪犯还可以用有害的恶意软件或勒索软件感染车辆系统,劫持车辆的控制权以换取报酬。
情况有多可怕?根据监测网络攻击的以色列安全公司 Upstream 的一份报告,“网络犯罪,包括与汽车相关的网络犯罪,比全球非法毒品交易更有利可图,每年 6000 亿美元对 4000 亿美元。”
同一份报告显示,2020 年数据泄露的平均成本是 386 万美元。更糟糕的是,在汽车行业发现并遏制漏洞的平均时间为九个月。
攻击示例
车辆代码量和项目复杂性的巨大增长呈指数级增长意味着原始设备制造商和供应商面临更多的网络安全风险。事实上,自 2016 年以来,网络安全事件和黑客事件同比增长了 94%。
最近的一些例子:
--2020 年 1 月:Mobileye 630 PRO 和 Tesla Model X 黑客欺骗了 ADAS 和自动驾驶系统触发刹车并转向迎面而来的车流。
--2020 年 2 月:在梅赛德斯-奔驰 E 级汽车中发现 19 个漏洞,允许黑客控制远程控制车辆,包括打开车门和启动发动机。
--2020 年 6 月:由于针对其欧洲和日本网络的勒索软件攻击,本田不得不停止其多家工厂的生产。
一名黑客能够控制特斯拉’通过利用汽车制造商服务器端机制中的一个漏洞来连接整个联网车队。
最著名的案例可能是 2015 年两名黑客接管了一辆吉普切诺基,作为一项实验,以证明汽车有多脆弱车辆可以用于网络犯罪。他们通过其信息娱乐主机单元攻击切诺基,控制 SUV 的传动、制动,甚至空调。
虽然消费者要求车辆具有更多的技术功能、连接性和便利性,但一份报告显示了很多他们对自己的四轮电子奇迹如此容易被黑客攻击感到震惊。这有可能使汽车制造商损失数十亿美元的销售损失。
2020 年发布的一项调查发现,84% 的消费者不会从经销商处购买另一辆汽车,如果他们的数据在过去曾因数据泄露而泄露.另一项研究确定 80% 的消费者表示他们不会从汽车公司购买产品
由于数十亿美元的收入损失、消费者信任和声望受到威胁,汽车制造商和供应商面临着防御来自其内部和外部的网络攻击来自外部资源。使这项任务变得更加困难的是,坚定而熟练的黑客通常会在他们上阵后立即想出如何突破防御。
反应、建议
国家公路交通等组织安全管理局和 Auto-ISAC 已经制定了用于转移网络攻击的指南和建议,但它们基本上只是建议。联合国欧洲经济委员会 (UNECE) 制定的新规则虽然用意良好,但如果管理不当,可能会使制造商破产。
从 2022 年 7 月在欧盟开始,一直持续到 7 月2024 年,法规要求适当的网络安全管理系统 (CSMS) 和软件更新电子管理系统 (SUMS)。这些都是在车辆销售很久之后在操作上监控和调整安全性所必需的。未能完成严格的前期工程可能会导致数十亿美元的机会成本。
如果制造商未能满足法规规定的方法——这要求他们管理车辆风险,通过设计确保车辆安全降低价值链上的风险,检测持续存在的风险并做出反应,并提供安全的软件更新——汽车制造商将不得在全球范围内销售汽车。鉴于快速组建合格的网络安全团队历来存在困难,遵守规定的时间紧迫导致了对网络安全工程师和专家的恐慌性招聘。
潜在危险
当公司求助于以较低成本提供此类人员但技能较低的外部或离岸人力资源机构时,潜在的危险就会潜伏。替代品转向成本更高的顾问可能会带来更熟练的员工,但这只是一个短期解决方案。
如果没有对公司的内在忠诚度,这些承包商可能会受到来自内部的威胁,因为他们经常被视为“特权用户”,因为他们控制着密钥管理或检测算法等关键要素。
Forester 的一项研究预测,今年内部数据泄露事件将增加 8%,而 Ponemon Institute 的一项研究发现来自“员工”的网络安全威胁或承包商疏忽”从 2016 年的 10.6% 增加到 2019 年的 14.5%。同期,来自被确定为“犯罪和恶意内部人员”的内部网络威胁从 3% 增加到 5.4%。
故意方法
在汽车咨询公司 Kugler Maag Cie,我们强烈敦促汽车制造商和供应商不要为了赶上即将到来的监管期限而临时雇用,而是要保护他们的长期网络安全采取更深思熟虑的方法。这意味着采用“慢招聘,快解雇”的理念,即花时间全面筛选求职者,以确保他们的技能水平、经验和诚实度。
在车辆投放市场之前发现此类漏洞就是金钱用的值得。从 2015 年的一个案例中吸取了教训,当时黑客入侵了 2009 款雪佛兰 Impala。通用汽车公司用了将近五年的时间才完全保护车辆免受攻击中使用的黑客技术的侵害。
黑客在寻找漏洞方面足智多谋,这一事实需要多层防御,包括加强车辆的安全性和内部 IT 网络,并使用云安全来检测和阻止网络攻击。
情况可能会升级。专家预测,在未来十年内,道路上将有 9.66 亿辆互联汽车相互“交谈”。提供各种信息,进而为黑客提供机会。到 2025 年,联网汽车将占全球汽车市场的近 86%。
汽车技术以惊人的速度发展,旨在提高我们的安全性、便利性和道路生活的乐趣,这确实是一个奇迹。但是,如果没有强大而持续的防御,网络犯罪分子的行为可能会给生命和生计带来沉重的代价。
