汽車被黑你怕不怕？整車信息安全強(qiáng)制性國標(biāo)就要來了

車聯(lián)網(wǎng)還沒實(shí)現(xiàn)前，汽車就被黑客盯上了。

僅2015年，就有兩起因信息網(wǎng)絡(luò)安全問題產(chǎn)生的大規(guī)模召回事件：寶馬因Connected Drive功能存在漏洞，召回220萬輛汽車；菲亞特克萊斯勒因“存在遠(yuǎn)程控制發(fā)動機(jī)、轉(zhuǎn)向系統(tǒng)，以及其他車載系統(tǒng)等被黑客攻擊的風(fēng)險(xiǎn)”，在美國召回140萬輛。

對于用戶，漏洞意味著安全風(fēng)險(xiǎn)，對于車企，超百萬輛規(guī)模的召回，意味著品牌形象的傷害和巨額的損失。

如今，隨著車聯(lián)網(wǎng)技術(shù)和汽車智能化的發(fā)展迭代，汽車從「機(jī)械」屬性產(chǎn)品逐漸成為一個(gè)小型數(shù)據(jù)中心，同時(shí)也逐漸成為黑客高頻攻擊對象。

為確保車輛、司機(jī)、乘客乃至整個(gè)社會的安全，汽車行業(yè)必須加快主動措施，其中，相關(guān)的標(biāo)準(zhǔn)法規(guī)建設(shè)必不可少。

近日，「智車星球」獨(dú)家獲悉，強(qiáng)制性國家標(biāo)準(zhǔn)《汽車整車信息安全技術(shù)要求》最快將于今年下半年報(bào)批。

法律層面看，該標(biāo)準(zhǔn)的制定推出填補(bǔ)了當(dāng)前汽車整車領(lǐng)域信息安全關(guān)鍵性基礎(chǔ)技術(shù)要求的空白，能夠幫助智能網(wǎng)聯(lián)汽車的生產(chǎn)企業(yè)和相關(guān)機(jī)構(gòu)更好地實(shí)現(xiàn)并驗(yàn)證整車信息安全需求。同時(shí)，能夠合理規(guī)避車輛信息安全與數(shù)據(jù)安全隱患，避免漏洞破解與群體性非法控車。

而對于汽車行業(yè)，強(qiáng)標(biāo)的推出意味著一些新的挑戰(zhàn)與變化即將或已經(jīng)到來。

1

兩個(gè)認(rèn)證：CSMS和VTA

《汽車整車信息安全技術(shù)要求》（以下簡稱“《要求》”）并不是一個(gè)全新的標(biāo)準(zhǔn)，其主體內(nèi)容來自于2020年6月聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（WP.29）發(fā)布的智能網(wǎng)聯(lián)汽車法規(guī)R155（Cybersecurity）。

它是全球第一個(gè)汽車信息安全強(qiáng)制法規(guī)，適用于《1958年協(xié)定書》（聯(lián)合國于1958月20日在日內(nèi)瓦制定了《關(guān)于采用統(tǒng)一條件批準(zhǔn)機(jī)動車輛裝備和部件并相互承認(rèn)此批準(zhǔn)的協(xié)定書》）下的成員國。

當(dāng)前，該協(xié)議的締約方已增加到54個(gè)，其中包括所有歐盟國家和其他OECD（經(jīng)合組織）國家。雖然中國不是其中，但生產(chǎn)的汽車只要銷售到這些國家中就必須符合R155的要求。因此，近些年在《1958年協(xié)定書》成員國有出口業(yè)務(wù)的車企，對R155并不陌生，甚至獲得認(rèn)證成為了這些出海企業(yè)的一個(gè)宣傳點(diǎn)。

本質(zhì)上，《汽車整車信息安全技術(shù)要求》就是R155的漢化版本，當(dāng)然兩者在一些細(xì)節(jié)上會有一定差異，比如在安全審計(jì)、V2X 身份認(rèn)證等方面，《要求》會有單獨(dú)體現(xiàn)。另外，在國家比較重視的身份認(rèn)證、密碼安全、數(shù)據(jù)安全等細(xì)節(jié)上，《要求》會有更詳細(xì)的規(guī)定。

適用車型上，《要求》與R155一致，基本涵蓋了乘用車和商用車的適用范圍，適用于M類車型、N類車型、至少裝備了一個(gè)ECU的O類車型以及具備L3級及以上自動駕駛功能的L6和L7類車型。

R155合規(guī)認(rèn)證主要分為兩部分，一是網(wǎng)絡(luò)安全管理體系認(rèn)證（CSMS,Cyber Security Management System）；二是車輛網(wǎng)絡(luò)安全型式認(rèn)證（VTA,Vehicle Type Approval）。

CSMS認(rèn)證主要審查車企的信息安全管理系統(tǒng)是否涵蓋開發(fā)、生產(chǎn)和后生產(chǎn)階段，以確保汽車全生命周期中都有對應(yīng)的流程措施，從而保證信息安全設(shè)計(jì)、實(shí)施及響應(yīng)均有流程體系指導(dǎo)。

車企拿到這項(xiàng)認(rèn)證，意味著具備覆蓋車輛全生命周期的網(wǎng)絡(luò)安全管控、數(shù)據(jù)安全保障、安全研發(fā)和測試、漏洞和威脅響應(yīng)等重要安全能力。

拿到CSMS認(rèn)證的前提下，車企才能對具體車輛進(jìn)行VTA認(rèn)證。該認(rèn)證是針對信息安全開發(fā)中具體的工作項(xiàng)進(jìn)行審查，旨在保證實(shí)施于車輛的信息安全防護(hù)技術(shù)在進(jìn)行審查認(rèn)證時(shí)足夠完備。

獲得CSMS認(rèn)證后，可由制造商或授權(quán)代表提出VTA認(rèn)證，該認(rèn)證主要有以下技術(shù)要求：

1、識別和管理供應(yīng)鏈的風(fēng)險(xiǎn)

2、識別車輛關(guān)鍵元素，并且進(jìn)行詳盡的風(fēng)險(xiǎn)評估，并適當(dāng)處理/管理已識別風(fēng)險(xiǎn)，并采取削減措施

3、應(yīng)針對識別的風(fēng)險(xiǎn)采取緩解措施

4、應(yīng)確保存儲或執(zhí)行的售后軟件、服務(wù)應(yīng)用和數(shù)據(jù)的安全

5、應(yīng)在型式認(rèn)證之前，開展充分的測試

6、車輛制造商應(yīng)針對待型式認(rèn)證的車輛采取以下措施：

1）發(fā)現(xiàn)并防止網(wǎng)絡(luò)攻擊

2）支持在檢測與車輛類型有關(guān)的威脅、漏洞和攻擊方面的監(jiān)測能力

3）提供數(shù)據(jù)取證能力，以分析嘗試或已成功的攻擊

7、密碼算法：使用公認(rèn)密碼算法

《要求》正式開始實(shí)施后，CSMS認(rèn)證（在國內(nèi)名字可能有所改變）將成為車企的基本要求。對于蔚來、長城這類已經(jīng)在R155法規(guī)覆蓋國家展開業(yè)務(wù)的車企，在應(yīng)對新強(qiáng)標(biāo)時(shí)會相對從容。而對于此前在相關(guān)方面沒有太多積累的企業(yè)，則需要花大力氣快速補(bǔ)齊短板拿到新的「準(zhǔn)入資格」。

從R155的實(shí)施時(shí)間來看，法案2021年1月22日正式生效后，針對新車型有48個(gè)月的過渡期，具體時(shí)間規(guī)劃如下：

?2020年6月法案發(fā)布；

?2021年1月22日法案正式生效，開放申請CSMS證書和VTA證書；

?2022年7月起適用于新車型，從現(xiàn)有電子架構(gòu)推出的新車系（即車輛類型）將需要獲得網(wǎng)絡(luò)安全系統(tǒng)型式認(rèn)證，作為整車型式認(rèn)證（WVTA，Whole Vehicle Type Approval）過程的一部分。即便是小改款車型，只要涉及車機(jī)、輔助駕駛等電子電器變化，就相當(dāng)于是「新車系」，需要滿足R155；

?2024年7月起適用于所有車型，尚未停產(chǎn)的車型必須獲得網(wǎng)絡(luò)安全系統(tǒng)的型式認(rèn)證，才可以在相關(guān)市場銷售。這意味著，之前車型可能需要通過修改或升級方案，滿足R155。

?2022年-2024年兩年內(nèi)的現(xiàn)有架構(gòu)新車型上市，若無法按照CSMS開發(fā)，則VTA必須證明在開發(fā)階段已充分考慮網(wǎng)絡(luò)安全；

?2025年1月過渡期結(jié)束，要求所有架構(gòu)所有車型通過認(rèn)證（CSMS+VTA）。

據(jù)智車星球了解，《要求》也將采取類似的實(shí)施節(jié)奏。

2

新的V字開發(fā)流程

有了新的標(biāo)準(zhǔn)限制，汽車的設(shè)計(jì)開發(fā)流程自然也要發(fā)生變化。類似于行業(yè)熟知的汽車V字型開發(fā)，汽車網(wǎng)絡(luò)信息安全體系也有一套自己的V字開發(fā)流程。

車輛開發(fā)過程中，兩個(gè)「V」會同步進(jìn)行，既有交集，也會有相互矛盾的地方。

例如，在強(qiáng)調(diào)冗余功能安全層面，往往會有備用件的存在，一旦主件出現(xiàn)問題能快速切換；但對于信息安全，模塊越多風(fēng)險(xiǎn)越高，此時(shí)就是兩個(gè)「安全」的PK過程。當(dāng)然，這需要結(jié)合具體產(chǎn)品的設(shè)計(jì)、企業(yè)的安全資產(chǎn)、導(dǎo)出的威脅模型等情況綜合分析。

對于車企，信息安全體系V字的左邊是搭建工作框架，包括安全方法論、安全框架、TARA標(biāo)準(zhǔn)、滲透測試標(biāo)準(zhǔn)、車外/車內(nèi)安全需求、通訊安全需求等。這部分工作車企通常會委托德勤這類的咨詢公司進(jìn)行，咨詢公司給到車企to do list，然后對應(yīng)進(jìn)行設(shè)計(jì)與搭建。

針對具體的車型將由車企進(jìn)行TARA（威脅分析和風(fēng)險(xiǎn)評估）分析。該分析是通過計(jì)算已知和已登記目的網(wǎng)絡(luò)威脅的影響和可行性來完成的，要求車企分析車輛整個(gè)生命周期的威脅和風(fēng)險(xiǎn)，以確定道路用戶可能受到汽車網(wǎng)絡(luò)威脅和漏洞的影響程度。

過程中，會有一些安全上的開發(fā)和改造，這可以由車企自己操作，也可以引入供應(yīng)商。

TARA分析相當(dāng)于搭建車輛安全的頂層設(shè)計(jì)，完成后車企會對上游零部件廠商提出相應(yīng)的安全規(guī)范要求，并告知要做哪些相關(guān)工作。這便來到了「V」字的右邊——生產(chǎn)和驗(yàn)證。

這可能會是一個(gè)往復(fù)的過程，大概的流程是零部件廠商接收到要求后，需要評估后設(shè)計(jì)，再通過TARA分析、滲透測試、Delta測試等驗(yàn)證步驟后再給車企提交報(bào)告，之后車企再進(jìn)行驗(yàn)證。

當(dāng)完成上述步驟，便要進(jìn)入測試驗(yàn)證階段，以確認(rèn)在整個(gè)安全框架下所做的改造和設(shè)計(jì)是否存在漏洞，此時(shí)，就需要汽車信息安全檢測服務(wù)供應(yīng)商。

雖然現(xiàn)在很多車企都在建設(shè)對應(yīng)的安全測試驗(yàn)證實(shí)驗(yàn)室，但由于安全難以自證「清白」，尤其在成為強(qiáng)制要求后，車企對網(wǎng)絡(luò)安全方面的實(shí)施支持以及評估和認(rèn)證服務(wù)的需求將進(jìn)一步提升。

3

第三方服務(wù)商的機(jī)會

根據(jù)麥肯錫發(fā)布的《應(yīng)對汽車信息安全的挑戰(zhàn)》報(bào)告，到2030年，網(wǎng)絡(luò)安全流程和解決方案市場的總和（包括執(zhí)行這些活動所需的人員和工具）預(yù)計(jì)將達(dá)到34億美元，其中網(wǎng)絡(luò)安全流程的市場規(guī)模為24億美元。

△截圖來自麥肯錫《應(yīng)對汽車信息安全的挑戰(zhàn)》

網(wǎng)絡(luò)安全流程包括與軟件跟蹤、風(fēng)險(xiǎn)管理、法規(guī)要求、流程合規(guī)性的認(rèn)證/測試以及事件響應(yīng)相關(guān)的活動，市場規(guī)模將在2025年左右達(dá)到頂峰，這取決于客戶對質(zhì)量的期望和不斷增加的網(wǎng)絡(luò)威脅，以及關(guān)于網(wǎng)絡(luò)安全和軟件更新的法規(guī)。在進(jìn)行初始投資以實(shí)現(xiàn)合規(guī)性后，后續(xù)投資和擴(kuò)展工作將減少。

其中，風(fēng)險(xiǎn)管理基本由咨詢公司承包，第三方服務(wù)商和車聯(lián)網(wǎng)安全初創(chuàng)企業(yè)重點(diǎn)放在了軟件供應(yīng)鏈安全以及流程合規(guī)性的認(rèn)證/測試上。

前者主要包括整個(gè)開發(fā)過程中軟件版本的管理、漏洞的覆蓋、根據(jù)軟件更新來驗(yàn)證不同組件版本之間的兼容性、根據(jù)軟件更新評估對安全相關(guān)組件的影響等。這塊服務(wù)并非一錘子買賣，而是跟隨汽車的整個(gè)生命周期不斷迭代，就像購買一個(gè)工具或服務(wù)后，每年會有訂閱服務(wù)費(fèi)一樣。

而在檢測和認(rèn)證層面，目前來看，第三方的檢測認(rèn)證技術(shù)只是一個(gè)入門門檻，核心在于第三方服務(wù)商是否具有公信力、成為官方認(rèn)可的檢測認(rèn)證結(jié)構(gòu)。

除了上述業(yè)務(wù)之外，第三方供應(yīng)商也可以在服務(wù)過程中打造出合規(guī)檢測平臺工具。據(jù)星輿車聯(lián)網(wǎng)安全實(shí)驗(yàn)室主任許斯亮介紹，目前有不少做汽車傳統(tǒng)功能安全檢測的機(jī)構(gòu)有拓展汽車網(wǎng)絡(luò)信息安全檢測業(yè)務(wù)的需求，但由于缺乏研發(fā)能力，便選擇購買檢測工具進(jìn)行相關(guān)操作。

4

新的挑戰(zhàn)

根據(jù)Upstream Security發(fā)布的《2022年全球汽車網(wǎng)絡(luò)安全報(bào)告》，全球聯(lián)網(wǎng)汽車將從2018年的3.3億輛增長到2023年的7.75億輛，增幅達(dá)134%。增長過程中，汽車行業(yè)受到的網(wǎng)絡(luò)攻擊規(guī)模、頻率和復(fù)雜程度都在呈指數(shù)級增長，影響的范圍也有所擴(kuò)大，比如電動汽車充電站、保險(xiǎn)、智慧城市等。

△截圖來自《2022年全球汽車網(wǎng)絡(luò)安全報(bào)告》

長遠(yuǎn)看，汽車網(wǎng)絡(luò)安全發(fā)展將成為必然趨勢，即將推出的《汽車整車信息安全技術(shù)要求》只是一個(gè)開始，基于R156法規(guī)的強(qiáng)制性國家標(biāo)準(zhǔn)《汽車軟件升級 通用技術(shù)要求》也會在之后推出。隨著汽車智能化的發(fā)展，有關(guān)自動駕駛數(shù)據(jù)記錄系統(tǒng)、自動駕駛預(yù)期功能安全等相關(guān)標(biāo)準(zhǔn)也會不斷完善。

能預(yù)見的是，這些強(qiáng)制性標(biāo)準(zhǔn)的推出，會讓汽車在開發(fā)生命周期中有更高的嚴(yán)格性、更多的功能要求以及更大的投資。

這給車聯(lián)網(wǎng)安全從業(yè)者提供了機(jī)會，可以通過提供新產(chǎn)品、新服務(wù)來拓展業(yè)務(wù)。

對于車企，這是一次極好的提升企業(yè)競爭力的機(jī)會，當(dāng)然，難度并不低。除了上述提到的采取更強(qiáng)大的工程要求和具有固有安全功能的體系結(jié)構(gòu)設(shè)計(jì)形式，車企還需要具備對安全事件做出響應(yīng)和監(jiān)測、預(yù)防的能力。

后者不僅需要車企有「硬」實(shí)力，還需要車企對自身產(chǎn)品的漏洞有正確的認(rèn)識態(tài)度。

由于網(wǎng)絡(luò)信息安全涉及范圍寬泛，有車企會選擇充分利用白帽黑客和安全研究人員的力量和知識，實(shí)施激勵(lì)計(jì)劃，鼓勵(lì)友好的黑客報(bào)告他們發(fā)現(xiàn)的漏洞，以使汽車被惡意利用之前修復(fù)問題。

但目前國內(nèi)車企在面對類似的個(gè)人提交漏洞時(shí)，往往會有比較反感的態(tài)度，甚至?xí)⑵淞腥牒诿麊巍?/p>

在去年10月舉行的GeekPwn 2022安全極客大賽上，就出現(xiàn)了被選做目標(biāo)車型的車企通過一些非常手段讓參賽選手放棄「攻擊」車輛的情況。

這方面，特斯拉可以說是做得最早，態(tài)度也最開放的車企。早在2013年特斯拉設(shè)立「特斯拉安全研究名人堂」（Tesla Security Researcher Hall of Fame），鼓勵(lì)對特斯拉車輛的漏洞進(jìn)行合理披露，并承諾不會采取法律手段或請求執(zhí)法機(jī)關(guān)對合理披露者進(jìn)行調(diào)查。

國內(nèi)車企如理想、蔚來、小鵬、極氪等新品牌車企也在近兩年跟進(jìn)，建立了自己的SRC（安全應(yīng)急響應(yīng)中心），鼓勵(lì)白帽黑客對車企授權(quán)測試的資產(chǎn)開展全面的漏洞發(fā)現(xiàn)與反饋風(fēng)險(xiǎn)。

車輛信息安全是全新的長遠(yuǎn)的工作，無論是政策層面強(qiáng)制性的法規(guī)標(biāo)準(zhǔn)，還是車企自發(fā)的安全防護(hù)行為，都僅僅是車聯(lián)網(wǎng)安全防護(hù)的起點(diǎn)，網(wǎng)絡(luò)技術(shù)的更新迭代不會停止，給汽車這個(gè)傳統(tǒng)機(jī)械行業(yè)的將是全新的挑戰(zhàn)。