汽車被黑你怕不怕？整車信息安全強制性國標就要來了

車聯(lián)網(wǎng)還沒實現(xiàn)前，汽車就被黑客盯上了。

僅2015年，就有兩起因信息網(wǎng)絡安全問題產生的大規(guī)模召回事件：寶馬因Connected Drive功能存在漏洞，召回220萬輛汽車；菲亞特克萊斯勒因“存在遠程控制發(fā)動機、轉向系統(tǒng)，以及其他車載系統(tǒng)等被黑客攻擊的風險”，在美國召回140萬輛。

對于用戶，漏洞意味著安全風險，對于車企，超百萬輛規(guī)模的召回，意味著品牌形象的傷害和巨額的損失。

如今，隨著車聯(lián)網(wǎng)技術和汽車智能化的發(fā)展迭代，汽車從「機械」屬性產品逐漸成為一個小型數(shù)據(jù)中心，同時也逐漸成為黑客高頻攻擊對象。

為確保車輛、司機、乘客乃至整個社會的安全，汽車行業(yè)必須加快主動措施，其中，相關的標準法規(guī)建設必不可少。

近日，「智車星球」獨家獲悉，強制性國家標準《汽車整車信息安全技術要求》最快將于今年下半年報批。

法律層面看，該標準的制定推出填補了當前汽車整車領域信息安全關鍵性基礎技術要求的空白，能夠幫助智能網(wǎng)聯(lián)汽車的生產企業(yè)和相關機構更好地實現(xiàn)并驗證整車信息安全需求。同時，能夠合理規(guī)避車輛信息安全與數(shù)據(jù)安全隱患，避免漏洞破解與群體性非法控車。

而對于汽車行業(yè)，強標的推出意味著一些新的挑戰(zhàn)與變化即將或已經到來。

1

兩個認證：CSMS和VTA

《汽車整車信息安全技術要求》（以下簡稱“《要求》”）并不是一個全新的標準，其主體內容來自于2020年6月聯(lián)合國世界車輛法規(guī)協(xié)調論壇（WP.29）發(fā)布的智能網(wǎng)聯(lián)汽車法規(guī)R155（Cybersecurity）。

它是全球第一個汽車信息安全強制法規(guī)，適用于《1958年協(xié)定書》（聯(lián)合國于1958月20日在日內瓦制定了《關于采用統(tǒng)一條件批準機動車輛裝備和部件并相互承認此批準的協(xié)定書》）下的成員國。

當前，該協(xié)議的締約方已增加到54個，其中包括所有歐盟國家和其他OECD（經合組織）國家。雖然中國不是其中，但生產的汽車只要銷售到這些國家中就必須符合R155的要求。因此，近些年在《1958年協(xié)定書》成員國有出口業(yè)務的車企，對R155并不陌生，甚至獲得認證成為了這些出海企業(yè)的一個宣傳點。

本質上，《汽車整車信息安全技術要求》就是R155的漢化版本，當然兩者在一些細節(jié)上會有一定差異，比如在安全審計、V2X 身份認證等方面，《要求》會有單獨體現(xiàn)。另外，在國家比較重視的身份認證、密碼安全、數(shù)據(jù)安全等細節(jié)上，《要求》會有更詳細的規(guī)定。

適用車型上，《要求》與R155一致，基本涵蓋了乘用車和商用車的適用范圍，適用于M類車型、N類車型、至少裝備了一個ECU的O類車型以及具備L3級及以上自動駕駛功能的L6和L7類車型。

R155合規(guī)認證主要分為兩部分，一是網(wǎng)絡安全管理體系認證（CSMS,Cyber Security Management System）；二是車輛網(wǎng)絡安全型式認證（VTA,Vehicle Type Approval）。

CSMS認證主要審查車企的信息安全管理系統(tǒng)是否涵蓋開發(fā)、生產和后生產階段，以確保汽車全生命周期中都有對應的流程措施，從而保證信息安全設計、實施及響應均有流程體系指導。

車企拿到這項認證，意味著具備覆蓋車輛全生命周期的網(wǎng)絡安全管控、數(shù)據(jù)安全保障、安全研發(fā)和測試、漏洞和威脅響應等重要安全能力。

拿到CSMS認證的前提下，車企才能對具體車輛進行VTA認證。該認證是針對信息安全開發(fā)中具體的工作項進行審查，旨在保證實施于車輛的信息安全防護技術在進行審查認證時足夠完備。

獲得CSMS認證后，可由制造商或授權代表提出VTA認證，該認證主要有以下技術要求：

1、識別和管理供應鏈的風險

2、識別車輛關鍵元素，并且進行詳盡的風險評估，并適當處理/管理已識別風險，并采取削減措施

3、應針對識別的風險采取緩解措施

4、應確保存儲或執(zhí)行的售后軟件、服務應用和數(shù)據(jù)的安全

5、應在型式認證之前，開展充分的測試

6、車輛制造商應針對待型式認證的車輛采取以下措施：

1）發(fā)現(xiàn)并防止網(wǎng)絡攻擊

2）支持在檢測與車輛類型有關的威脅、漏洞和攻擊方面的監(jiān)測能力

3）提供數(shù)據(jù)取證能力，以分析嘗試或已成功的攻擊

7、密碼算法：使用公認密碼算法

《要求》正式開始實施后，CSMS認證（在國內名字可能有所改變）將成為車企的基本要求。對于蔚來、長城這類已經在R155法規(guī)覆蓋國家展開業(yè)務的車企，在應對新強標時會相對從容。而對于此前在相關方面沒有太多積累的企業(yè)，則需要花大力氣快速補齊短板拿到新的「準入資格」。

從R155的實施時間來看，法案2021年1月22日正式生效后，針對新車型有48個月的過渡期，具體時間規(guī)劃如下：

?2020年6月法案發(fā)布；

?2021年1月22日法案正式生效，開放申請CSMS證書和VTA證書；

?2022年7月起適用于新車型，從現(xiàn)有電子架構推出的新車系（即車輛類型）將需要獲得網(wǎng)絡安全系統(tǒng)型式認證，作為整車型式認證（WVTA，Whole Vehicle Type Approval）過程的一部分。即便是小改款車型，只要涉及車機、輔助駕駛等電子電器變化，就相當于是「新車系」，需要滿足R155；

?2024年7月起適用于所有車型，尚未停產的車型必須獲得網(wǎng)絡安全系統(tǒng)的型式認證，才可以在相關市場銷售。這意味著，之前車型可能需要通過修改或升級方案，滿足R155。

?2022年-2024年兩年內的現(xiàn)有架構新車型上市，若無法按照CSMS開發(fā)，則VTA必須證明在開發(fā)階段已充分考慮網(wǎng)絡安全；

?2025年1月過渡期結束，要求所有架構所有車型通過認證（CSMS+VTA）。

據(jù)智車星球了解，《要求》也將采取類似的實施節(jié)奏。

2

新的V字開發(fā)流程

有了新的標準限制，汽車的設計開發(fā)流程自然也要發(fā)生變化。類似于行業(yè)熟知的汽車V字型開發(fā)，汽車網(wǎng)絡信息安全體系也有一套自己的V字開發(fā)流程。

車輛開發(fā)過程中，兩個「V」會同步進行，既有交集，也會有相互矛盾的地方。

例如，在強調冗余功能安全層面，往往會有備用件的存在，一旦主件出現(xiàn)問題能快速切換；但對于信息安全，模塊越多風險越高，此時就是兩個「安全」的PK過程。當然，這需要結合具體產品的設計、企業(yè)的安全資產、導出的威脅模型等情況綜合分析。

對于車企，信息安全體系V字的左邊是搭建工作框架，包括安全方法論、安全框架、TARA標準、滲透測試標準、車外/車內安全需求、通訊安全需求等。這部分工作車企通常會委托德勤這類的咨詢公司進行，咨詢公司給到車企to do list，然后對應進行設計與搭建。

針對具體的車型將由車企進行TARA（威脅分析和風險評估）分析。該分析是通過計算已知和已登記目的網(wǎng)絡威脅的影響和可行性來完成的，要求車企分析車輛整個生命周期的威脅和風險，以確定道路用戶可能受到汽車網(wǎng)絡威脅和漏洞的影響程度。

過程中，會有一些安全上的開發(fā)和改造，這可以由車企自己操作，也可以引入供應商。

TARA分析相當于搭建車輛安全的頂層設計，完成后車企會對上游零部件廠商提出相應的安全規(guī)范要求，并告知要做哪些相關工作。這便來到了「V」字的右邊——生產和驗證。

這可能會是一個往復的過程，大概的流程是零部件廠商接收到要求后，需要評估后設計，再通過TARA分析、滲透測試、Delta測試等驗證步驟后再給車企提交報告，之后車企再進行驗證。

當完成上述步驟，便要進入測試驗證階段，以確認在整個安全框架下所做的改造和設計是否存在漏洞，此時，就需要汽車信息安全檢測服務供應商。

雖然現(xiàn)在很多車企都在建設對應的安全測試驗證實驗室，但由于安全難以自證「清白」，尤其在成為強制要求后，車企對網(wǎng)絡安全方面的實施支持以及評估和認證服務的需求將進一步提升。

3

第三方服務商的機會

根據(jù)麥肯錫發(fā)布的《應對汽車信息安全的挑戰(zhàn)》報告，到2030年，網(wǎng)絡安全流程和解決方案市場的總和（包括執(zhí)行這些活動所需的人員和工具）預計將達到34億美元，其中網(wǎng)絡安全流程的市場規(guī)模為24億美元。

△截圖來自麥肯錫《應對汽車信息安全的挑戰(zhàn)》

網(wǎng)絡安全流程包括與軟件跟蹤、風險管理、法規(guī)要求、流程合規(guī)性的認證/測試以及事件響應相關的活動，市場規(guī)模將在2025年左右達到頂峰，這取決于客戶對質量的期望和不斷增加的網(wǎng)絡威脅，以及關于網(wǎng)絡安全和軟件更新的法規(guī)。在進行初始投資以實現(xiàn)合規(guī)性后，后續(xù)投資和擴展工作將減少。

其中，風險管理基本由咨詢公司承包，第三方服務商和車聯(lián)網(wǎng)安全初創(chuàng)企業(yè)重點放在了軟件供應鏈安全以及流程合規(guī)性的認證/測試上。

前者主要包括整個開發(fā)過程中軟件版本的管理、漏洞的覆蓋、根據(jù)軟件更新來驗證不同組件版本之間的兼容性、根據(jù)軟件更新評估對安全相關組件的影響等。這塊服務并非一錘子買賣，而是跟隨汽車的整個生命周期不斷迭代，就像購買一個工具或服務后，每年會有訂閱服務費一樣。

而在檢測和認證層面，目前來看，第三方的檢測認證技術只是一個入門門檻，核心在于第三方服務商是否具有公信力、成為官方認可的檢測認證結構。

除了上述業(yè)務之外，第三方供應商也可以在服務過程中打造出合規(guī)檢測平臺工具。據(jù)星輿車聯(lián)網(wǎng)安全實驗室主任許斯亮介紹，目前有不少做汽車傳統(tǒng)功能安全檢測的機構有拓展汽車網(wǎng)絡信息安全檢測業(yè)務的需求，但由于缺乏研發(fā)能力，便選擇購買檢測工具進行相關操作。

4

新的挑戰(zhàn)

根據(jù)Upstream Security發(fā)布的《2022年全球汽車網(wǎng)絡安全報告》，全球聯(lián)網(wǎng)汽車將從2018年的3.3億輛增長到2023年的7.75億輛，增幅達134%。增長過程中，汽車行業(yè)受到的網(wǎng)絡攻擊規(guī)模、頻率和復雜程度都在呈指數(shù)級增長，影響的范圍也有所擴大，比如電動汽車充電站、保險、智慧城市等。

△截圖來自《2022年全球汽車網(wǎng)絡安全報告》

長遠看，汽車網(wǎng)絡安全發(fā)展將成為必然趨勢，即將推出的《汽車整車信息安全技術要求》只是一個開始，基于R156法規(guī)的強制性國家標準《汽車軟件升級 通用技術要求》也會在之后推出。隨著汽車智能化的發(fā)展，有關自動駕駛數(shù)據(jù)記錄系統(tǒng)、自動駕駛預期功能安全等相關標準也會不斷完善。

能預見的是，這些強制性標準的推出，會讓汽車在開發(fā)生命周期中有更高的嚴格性、更多的功能要求以及更大的投資。

這給車聯(lián)網(wǎng)安全從業(yè)者提供了機會，可以通過提供新產品、新服務來拓展業(yè)務。

對于車企，這是一次極好的提升企業(yè)競爭力的機會，當然，難度并不低。除了上述提到的采取更強大的工程要求和具有固有安全功能的體系結構設計形式，車企還需要具備對安全事件做出響應和監(jiān)測、預防的能力。

后者不僅需要車企有「硬」實力，還需要車企對自身產品的漏洞有正確的認識態(tài)度。

由于網(wǎng)絡信息安全涉及范圍寬泛，有車企會選擇充分利用白帽黑客和安全研究人員的力量和知識，實施激勵計劃，鼓勵友好的黑客報告他們發(fā)現(xiàn)的漏洞，以使汽車被惡意利用之前修復問題。

但目前國內車企在面對類似的個人提交漏洞時，往往會有比較反感的態(tài)度，甚至會將其列入黑名單。

在去年10月舉行的GeekPwn 2022安全極客大賽上，就出現(xiàn)了被選做目標車型的車企通過一些非常手段讓參賽選手放棄「攻擊」車輛的情況。

這方面，特斯拉可以說是做得最早，態(tài)度也最開放的車企。早在2013年特斯拉設立「特斯拉安全研究名人堂」（Tesla Security Researcher Hall of Fame），鼓勵對特斯拉車輛的漏洞進行合理披露，并承諾不會采取法律手段或請求執(zhí)法機關對合理披露者進行調查。

國內車企如理想、蔚來、小鵬、極氪等新品牌車企也在近兩年跟進，建立了自己的SRC（安全應急響應中心），鼓勵白帽黑客對車企授權測試的資產開展全面的漏洞發(fā)現(xiàn)與反饋風險。

車輛信息安全是全新的長遠的工作，無論是政策層面強制性的法規(guī)標準，還是車企自發(fā)的安全防護行為，都僅僅是車聯(lián)網(wǎng)安全防護的起點，網(wǎng)絡技術的更新迭代不會停止，給汽車這個傳統(tǒng)機械行業(yè)的將是全新的挑戰(zhàn)。