史敏才

近年來，隨著數(shù)字化、智能化和網(wǎng)絡(luò)化技術(shù)的日趨成型，汽車行業(yè)的新一輪產(chǎn)業(yè)變革已經(jīng)到來。然而，這種變革也為網(wǎng)絡(luò)安全風(fēng)險打開了大門。近日，研究機構(gòu)Upstream發(fā)布了《2023年全球汽車行業(yè)網(wǎng)絡(luò)安全報告》，報告數(shù)據(jù)顯示：在過去5年中，全球汽車行業(yè)因為網(wǎng)絡(luò)化攻擊造成的損失超過5 000億美元，而近70 %的汽車安全威脅都是由遠距離的網(wǎng)絡(luò)攻擊行為引發(fā)。研究人員表示：“汽車制造企業(yè)需要重新思考未來保障車輛安全的策略，從整體車聯(lián)網(wǎng)平臺安全的角度尋找解決方案，而不是傳統(tǒng)以車輛為中心的安全模型?！?/p>

在本次報告中，研究人員探討了當(dāng)前汽車行業(yè)面臨的主要安全威脅態(tài)勢，以及如何有效應(yīng)對這些威脅挑戰(zhàn)的方法和建議。以下是本次報告研究中的五大關(guān)鍵發(fā)現(xiàn)。

新的攻擊面大量出現(xiàn)

隨著汽車行業(yè)變得更加智能化和數(shù)字化，汽車企業(yè)因此拓展出更多的商業(yè)服務(wù)模式，這給了網(wǎng)絡(luò)攻擊者更多的攻擊面和攻擊載體。報告數(shù)據(jù)顯示，2022年網(wǎng)絡(luò)攻擊者最常使用的載體分別是遠程信息處理和應(yīng)用服務(wù)（35 %）、遠程無鑰匙進入系統(tǒng)（18 %）、電子控制單元（14 %）、車載智能應(yīng)用API（12 %）、車載信息娛樂系統(tǒng)（8 %）、車載移動應(yīng)用程序（6 %）和電動汽車充電系統(tǒng)及設(shè)施（4 %）。

研究人員提醒，一些新興攻擊載體的惡意利用趨勢已經(jīng)形成，相關(guān)企業(yè)和消費者需要給予足夠的重視，具體包括：

1.車輛訂閱服務(wù)：一些訂閱式的車輛服務(wù)功能方便了消費者的日常使用，但這些服務(wù)通常都會要求司機提供個人身份信息（PII）以實名驗證，這無疑為身份竊取和假冒相關(guān)的攻擊敞開了大門；

2.第三方汽車移動應(yīng)用程序：這些應(yīng)用程序旨在增強駕駛員的體驗，但是同樣需要駕駛員的PII和車輛行駛數(shù)據(jù)等信息，這對非法攻擊者會很有吸引力；

3.電動汽車充電網(wǎng)絡(luò)及設(shè)備：電動汽車需要定期進行電池充電，這個過程增加了被攻擊的可能性，也擴大了汽車行業(yè)的風(fēng)險暴露面。所有電動汽車利益相關(guān)者都應(yīng)該從保障充電網(wǎng)絡(luò)安全的角度做更多的事情；

4.新的車輛管理和保險模式：隨著智能汽車中大量遙測工具的使用，促進了企業(yè)管理和相關(guān)保險服務(wù)的發(fā)展，這些遙測數(shù)據(jù)涉及司機的駕駛行為和使用情況等，一旦相關(guān)的監(jiān)控設(shè)備被侵入，其后果將非常嚴重；

5.智能移動API：在2022年，汽車API攻擊的數(shù)量增加了380 %，占事件總數(shù)的12 %。隨著這項技術(shù)的使用不斷增加，與API相關(guān)的風(fēng)險也在增加。

汽車網(wǎng)絡(luò)攻擊的負面影響巨大

一旦成為汽車網(wǎng)絡(luò)攻擊活動的受害者，汽車制造企業(yè)會在多個方面受到嚴重的負面影響。本次報告數(shù)據(jù)顯示，汽車行業(yè)的網(wǎng)絡(luò)攻擊活動，對受害企業(yè)造成的危害主要包括：數(shù)據(jù)/隱私泄露、服務(wù)/業(yè)務(wù)中斷、車輛失竊、非法控制車輛、實施欺詐、地址跟蹤和政策違規(guī)等。

由于車輛銷售和服務(wù)的需要，汽車制造商可以獲取到大量的個人信息和車輛使用數(shù)據(jù)，以及與汽車服務(wù)業(yè)務(wù)相關(guān)的其他敏感信息。一旦丟失這些數(shù)據(jù)，企業(yè)將面臨災(zāi)難性的法律違規(guī)后果，會受到嚴厲的監(jiān)管處罰。

同時，汽車制造企業(yè)從網(wǎng)絡(luò)攻擊中恢復(fù)的成本極其昂貴，不僅需要修補被攻擊的區(qū)域，還要進行徹底的安全風(fēng)險審計，以確保沒有其他類似的安全漏洞，這也可能會損害客戶的對企業(yè)信任。

目前，無鑰匙啟動汽車是一項非常便利的功能，但也讓盜竊變得越來越普遍，這讓供應(yīng)商陷入了亟需補救的尷尬境地。此外，很多智能汽車在行駛中，一旦被攻擊者非法操控，將會造成嚴重的安全事故，甚至危害到駕駛者的人身安全。

汽車網(wǎng)絡(luò)攻擊手法復(fù)雜化

隨著汽車行業(yè)的不斷變化發(fā)展，非法攻擊者的攻擊手法也在進化。研究表明，針對汽車行業(yè)的網(wǎng)絡(luò)攻擊正變得更加精細，以獲得更好的攻擊效果。報告數(shù)據(jù)顯示，幾乎所有的汽車攻擊威脅（97 %）都是遠程進行的，而有70 %的遠程攻擊是在遠距離實施的。攻擊者不需要在車輛附近，只要能夠連接到車輛的網(wǎng)絡(luò)系統(tǒng)，就可以發(fā)起攻擊。

此外，攻擊者也在不斷改進他們的攻擊方法。例如，當(dāng)犯罪分子獲得某款汽車關(guān)鍵的數(shù)字基礎(chǔ)設(shè)施信息，就會以此向汽車制造商勒索高額贖金，同時還可能非法出售隱私數(shù)據(jù)。在此過程中，很有可能會出現(xiàn)影響整個供應(yīng)鏈的大規(guī)模數(shù)據(jù)泄露、拒絕服務(wù)攻擊和生產(chǎn)中斷。這一問題在2022年已經(jīng)表現(xiàn)的非常突出，隨著汽車數(shù)字化程度的進一步提升，Upstream預(yù)計針對汽車行業(yè)的攻擊在未來幾年將變得更加普遍。

保障汽車安全是每個人的責(zé)任

如今，汽車行業(yè)的網(wǎng)絡(luò)攻擊不僅僅局限于汽車生產(chǎn)商，供應(yīng)鏈中的每個組件和環(huán)節(jié)都可能受到威脅。這些攻擊不只是為了經(jīng)濟利益，還會危及公共安全和關(guān)鍵信息基礎(chǔ)設(shè)施安全。因此，從智能汽車基礎(chǔ)設(shè)施制造商到智能汽車服務(wù)提供商，以及所有汽車制造領(lǐng)域的利益相關(guān)者，都需要采取行動來保護汽車使用的安全和消費者利益。只有這樣，汽車行業(yè)才能繼續(xù)快速且安全地進行數(shù)字化轉(zhuǎn)型。

雖然汽車行業(yè)在網(wǎng)絡(luò)安全方面面臨巨大的挑戰(zhàn)，但也有各種積極的措施正在制定并實施，以提升車輛系統(tǒng)的安全彈性。該報告的研究人員指出，在2023年，汽車行業(yè)生態(tài)系統(tǒng)內(nèi)的安全合作將會增加，從而加速整個行業(yè)的整體保護。

企業(yè)要跟上監(jiān)管政策的調(diào)整和變化

目前，汽車行業(yè)的監(jiān)管機構(gòu)已經(jīng)意識到，汽車、基礎(chǔ)設(shè)施和消費者隱私面臨的網(wǎng)絡(luò)安全風(fēng)險。他們正在開始制定新的法規(guī)，以應(yīng)對這些風(fēng)險。在此背景下，汽車行業(yè)網(wǎng)絡(luò)安全保護的范圍和措施將會不斷提升。一些新的行業(yè)標(biāo)準(zhǔn)正在陸續(xù)頒布并實施，這些新安全標(biāo)準(zhǔn)更加強調(diào)了在汽車全生命周期的每個階段，實施高標(biāo)準(zhǔn)網(wǎng)絡(luò)安全實踐的重要性。除了在行業(yè)內(nèi)實施更好的網(wǎng)絡(luò)安全實踐外，這些新法規(guī)和指南還提供了統(tǒng)一的術(shù)語、方法、目標(biāo)和范圍，以使整個汽車行業(yè)在網(wǎng)絡(luò)安全防護目標(biāo)上達成一致。