广告

车厂不屑黑客,实为舍不得下血本提升安全性

时间:2016-10-31 作者:Junko Yoshida 阅读:
虽然有半数的产业受访者认为黑客会将汽车列为攻击目标,却只有54%受访者表示他们的公司有将安全性列为优先考虑...
广告

近日美国政府的汽车安全法规主管机关针对汽车厂商公布了一套“网络安全指导原则(cybersecurity guideline)”(参考链接),美国运输部长Anthony Foxx表示,网络安全是该部门列为首要优先性的安全议题。

显然美国政府部门期望能在联网汽车面临网络安全威胁之前,预先防范针对车辆的潜在攻击;主管机关担忧网络安全问题可能对未来高度自动化车辆带来不可挽回的破坏,但是不必太在意这种顾虑,事实证明,汽车产业的一些专家们并不认为黑客对攻击汽车有兴趣。

以上的观点在一份由独立安全技术研究组织Ponemon Institute进行的调查结果中显而易见;该机构表示,调查的目标是收集产业界在安全实践状态上的信息;该调查回收了500位受访者的问卷,所有受访者都有直接参与汽车软件开发,其中有44%的受访者来自车厂,其余则是任职于汽车零组件供应商。

Ponemon调查的赞助商之一,Security Innovation产品管理与营销总监Gene Carter表示,有鉴于在过去12个月以来数起引起大众注意的汽车网络安全事故,人们可能会预期汽车产业对于网络安全的态度将有革命性的转变;但调查结果却发现,汽车厂商与零组件供应商并没有将网络安全列为车辆开发的优先考虑:“汽车产业在完全准备好应对网络安全之前,还有很长一段路要走。”

根据来自500位受访者的回馈,只有52%的人认为黑客会主动将汽车列为攻击目标,该数字比前一年的调查结果44%略增──难道Jeep车款被黑客成功入侵、导致车厂克赖斯勒(Chrysler)在2015年召回140万辆汽车,并没有在该产业敲响警钟?看来并没有。
20161028 autosecurity NT03P1
*认为黑客会把汽车列为攻击目标的受访者比例
(来源:Ponemon Institute)*

而虽然有半数的产业受访者认为黑客会将汽车列为攻击目标,却只有54%受访者表示他们的公司有将安全性列为优先考虑。此外,只有不到一半(42%)的受访者表示,他们的公司在设计、实作与测试等产品开发程序中纳入了严苛的安全性需求。

Carter表示,就算是某些产业已经开始接受了汽车黑客会真正成为威胁的现实:“汽车厂商与零组件供应商的行为在因应此一日益显著的疑虑方面,并没有什么改变。”

谁该负起责任?

Ponemon的调查也询问受访者,最终谁该在汽车开发过程中负责确保安全性?对此Carter解释:“我们问这个问题是因为答案能显示汽车厂商在推动网络安全的优先地位。”

而调查结果显示,受访者认为在汽车开发过程中最该负责确保安全性的角色依次为:首席信息官(CIO,22%)、首席信息安全官(Chief information Security Officer,17%)、品保部门(Quality Assurance,18%)、开发工程师(12%)与合作伙伴(11%)。

然而只有五分之一(19%)的受访者认为,没有人应该在汽车开发过程中承担所有的确保安全性之责任:“这是一个警讯,意味着没有人负责。”
20161028 autosecurity NT03P2
*谁该为确保安全性负责
(来源:Ponemon Institute)*

该调查结果也显示,只有15%的受访者觉得安全性已经完全整合到汽车产品开发过程中;约一半(47%)的受访者则认为,安全性是在开发过程的最后才被加入的。不只是安全性并未整合在产品内部,调查还发现有超过一半(55%)的公司并没有将安全性架构纳入供应链以及合作伙伴网络。

Carter的观察是:“将安全性视为附加物,明确显示安全性并非众多厂商的优先考虑;”他表示,要达到最佳效果,网络安全必须在车辆或汽车零件开发的最早阶段就被列为必备项目。

连网汽车安全面临之挑战

在被问到保障车用软件安全面临的主要挑战有哪些时,受访依据严重程度所列出的包括:缺乏技术人员(65%)、推行压力(65%)、资源不足(58%)、缺乏明确的企业应用程序安全策略(43%)、缺乏正式的安全需求(34%)、时间限制(18%),以及支出(11%)。以上结果与2015年度的结果类似,只有因为推行压力一项,由去年度的54%大幅增加。

20161028 autosecurity NT03P3
*确保车用软件安全性面临的挑战
(来源:Ponemon Institute)*

平心而论,在实践汽车网络安全性方面,汽车产业因为旧有技术占据主导地位而面临几乎无法克服的挑战;Carter表示,举例来说,目前的CAN总线与OBD-II功能阻碍了让汽车朝更有保障的方向发展,而在汽车内随处可见的CAN总线,其实并不是一个实现网络安全的好平台,要改变需要不少投资,但也许汽车厂商认为这风险太大。

显然产业界对于汽车黑客的忧虑有所提升,但反应还是超嫌薄弱;令人好奇的是,调查结果显示汽车厂商对汽车的安全性弱点之意识提升了近10%,但汽车零组件供应商的反应更慢。

Carter猜测这是因为:“零组件供应商的营运利润真的非常低,安全意味着成本,除非汽车厂商要求他们添加安全性,而且他们也愿意为此掏钱投资;然而要改变汽车零组件供应商的心态可能会很困难。”

用那些工具实现安全?

Ponemon的调查还发现,汽车产业已经开始利用各种安全性工具:有超过一半(53%)受访者表示他们已经在使用安全启动(secure boot)功能,有44%受访者表示有使用加密通讯,42%使用加密数据储存,还有39%采用了端点认证(endpoint authentication)。

而调查的结论是,“虽然趋势有鼓励的作用,采用了那些安全工具与技术的厂商比例仍然偏低,只有24%的受访者表示公司采用威胁模型分析(Threat Modeling)等高阶风险评估工具,而这是经证明的、能在产品开发过程发现安全漏洞的方法,这是最有效(节省)的固定工具。”

20161028 autosecurity NT03P4
*汽车厂商使用的系统安全性功能
(来源:Ponemon Institute)*

美国国家公路交通安全管理局(NHTSA)公布的五大汽车网络安全目标纲要包括:

• 推广并分享汽车网络安全知识;
• 设定以产业为基础的最佳实践以及自愿性标准;
• 开发能抵御汽车黑客入侵的软件;
• 确定最低性能标准的可行性;
• 收集研究数据,让所有产业界以及NHTSA能用以开发策略与法令。

那些不一定是NHTSA施加于汽车厂商的最严苛网络网络安全目标,其实还相对较宽松、开放且流畅;NHTSA局长Mark Rosekind表示,在技术与网络安全持续变动的环境中,只有单一解决方案是不够的,所有相关业者应该继续行动、适应并跑在恶意者的前面。

有美国国会议员批评NHTSA的指导原则是对汽车产业太友善,因为如果现今的汽车是有轮子的计算机,就需要强制性的标准而非自愿性的指引,才能确保汽车不被黑客入侵、不让民众的生命安全与隐私暴露在危险中。

编译:Judith Cheng

本文授权编译自EE Times,版权所有,谢绝转载

EETC wechat barcode


关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Junko Yoshida
ASPENCORE全球联席总编辑,首席国际特派记者。曾任把口记者(beat reporter)和EE Times主编的Junko Yoshida现在把更多时间用来报道全球电子行业,尤其关注中国。 她的关注重点一直是新兴技术和商业模式,新一代消费电子产品往往诞生于此。 她现在正在增加对中国半导体制造商的报道,撰写关于晶圆厂和无晶圆厂制造商的规划。 此外,她还为EE Times的Designlines栏目提供汽车、物联网和无线/网络服务相关内容。 自1990年以来,她一直在为EE Times提供内容。
  • 地平线计划C轮融资总额超7亿美金,已完成C1轮融资 2020年12月22日,地平线公告已启动总额预计超过7亿美金的C轮融资,目前已完成由五源资本(原晨兴资本)、高瓴创投、今日资本联合领投的C1轮1.5亿美金融资,参与本轮融资的其他机构包括……
  • 苹果汽车明年9月只能发布PPT?芯片/电池/激光雷达都没准 中国台湾供应链厂商高管透露,传言已久的苹果电动汽车(Apple Car)将提前至少两年,有望于2021年第三季度发布,而相关组件则最早将在明年第二季度开始生产。据报道,目前苹果已开始向零组件供应商催货,但其最重要的几个电子零部件还远远没达到量产的程度,苹果真的能在2021年9月发布其汽车产品吗?
  • 系统级芯片(SoC)的复杂设计选择:片上网络(NoC) 什么是片上网络(NoC)?为什么系统级芯片(SoC)设计需要NoC?片上网络(NoC)相比传统的总线接口通信有什么优点和缺点?高性能的SoC设计在性能、功耗和尺寸方面面临哪些挑战? 5G、AI和自动驾驶等新兴应用对SoC设计提出了什么特别要求?
  • 2021年全球半导体行业10大技术趋势 2020年全球新冠疫情的蔓延和中美在半导体领域的冷战升级虽然对全球经济和半导体产业造成了负面影响,但半导体领域的技术进步却没有止步,有些技术甚至加快了市场商用化进程。ASPENCORE全球分析师团队精心挑选出2021年全球半导体行业将出现或凸显的10大技术趋势。对比2020年10大技术趋势,2021年有哪些变化呢?
  • ADI CEO对半导体行业的思考:重思、重构与重升 站在今天,但未来已来!疫情加快了数字化变革的步伐,对行业、经济和人类社会产生了深远的影响,为了应对这些变革带来的新的挑战,所有业内人士都将需要重新定义和重塑自我。
  • 新能源汽车的“三化”为汽车半导体行业带来什么样的机 新能源汽车正在向“三化”(电动化、智能化和网联化)方向发展,汽车半导体在这一快速转型发展过程中扮演着越来越重要的角色。以功率半导体为主的电子元器件在整车中的含量和价值在逐步提升,同时以微处理器和传感器为核心的自动驾驶/ADAS技术也在驱动着汽车半导体的快速增长。
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了