史敏才

近年來(lái)，隨著數(shù)字化、智能化和網(wǎng)絡(luò)化技術(shù)的日趨成型，汽車(chē)行業(yè)的新一輪產(chǎn)業(yè)變革已經(jīng)到來(lái)。然而，這種變革也為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)打開(kāi)了大門(mén)。近日，研究機(jī)構(gòu)Upstream發(fā)布了《2023年全球汽車(chē)行業(yè)網(wǎng)絡(luò)安全報(bào)告》，報(bào)告數(shù)據(jù)顯示：在過(guò)去5年中，全球汽車(chē)行業(yè)因?yàn)榫W(wǎng)絡(luò)化攻擊造成的損失超過(guò)5 000億美元，而近70 %的汽車(chē)安全威脅都是由遠(yuǎn)距離的網(wǎng)絡(luò)攻擊行為引發(fā)。研究人員表示：“汽車(chē)制造企業(yè)需要重新思考未來(lái)保障車(chē)輛安全的策略，從整體車(chē)聯(lián)網(wǎng)平臺(tái)安全的角度尋找解決方案，而不是傳統(tǒng)以車(chē)輛為中心的安全模型?！?/p>

在本次報(bào)告中，研究人員探討了當(dāng)前汽車(chē)行業(yè)面臨的主要安全威脅態(tài)勢(shì)，以及如何有效應(yīng)對(duì)這些威脅挑戰(zhàn)的方法和建議。以下是本次報(bào)告研究中的五大關(guān)鍵發(fā)現(xiàn)。

新的攻擊面大量出現(xiàn)

隨著汽車(chē)行業(yè)變得更加智能化和數(shù)字化，汽車(chē)企業(yè)因此拓展出更多的商業(yè)服務(wù)模式，這給了網(wǎng)絡(luò)攻擊者更多的攻擊面和攻擊載體。報(bào)告數(shù)據(jù)顯示，2022年網(wǎng)絡(luò)攻擊者最常使用的載體分別是遠(yuǎn)程信息處理和應(yīng)用服務(wù)（35 %）、遠(yuǎn)程無(wú)鑰匙進(jìn)入系統(tǒng)（18 %）、電子控制單元（14 %）、車(chē)載智能應(yīng)用API（12 %）、車(chē)載信息娛樂(lè)系統(tǒng)（8 %）、車(chē)載移動(dòng)應(yīng)用程序（6 %）和電動(dòng)汽車(chē)充電系統(tǒng)及設(shè)施（4 %）。

研究人員提醒，一些新興攻擊載體的惡意利用趨勢(shì)已經(jīng)形成，相關(guān)企業(yè)和消費(fèi)者需要給予足夠的重視，具體包括：

1.車(chē)輛訂閱服務(wù)：一些訂閱式的車(chē)輛服務(wù)功能方便了消費(fèi)者的日常使用，但這些服務(wù)通常都會(huì)要求司機(jī)提供個(gè)人身份信息（PII）以實(shí)名驗(yàn)證，這無(wú)疑為身份竊取和假冒相關(guān)的攻擊敞開(kāi)了大門(mén)；

2.第三方汽車(chē)移動(dòng)應(yīng)用程序：這些應(yīng)用程序旨在增強(qiáng)駕駛員的體驗(yàn)，但是同樣需要駕駛員的PII和車(chē)輛行駛數(shù)據(jù)等信息，這對(duì)非法攻擊者會(huì)很有吸引力；

3.電動(dòng)汽車(chē)充電網(wǎng)絡(luò)及設(shè)備：電動(dòng)汽車(chē)需要定期進(jìn)行電池充電，這個(gè)過(guò)程增加了被攻擊的可能性，也擴(kuò)大了汽車(chē)行業(yè)的風(fēng)險(xiǎn)暴露面。所有電動(dòng)汽車(chē)?yán)嫦嚓P(guān)者都應(yīng)該從保障充電網(wǎng)絡(luò)安全的角度做更多的事情；

4.新的車(chē)輛管理和保險(xiǎn)模式：隨著智能汽車(chē)中大量遙測(cè)工具的使用，促進(jìn)了企業(yè)管理和相關(guān)保險(xiǎn)服務(wù)的發(fā)展，這些遙測(cè)數(shù)據(jù)涉及司機(jī)的駕駛行為和使用情況等，一旦相關(guān)的監(jiān)控設(shè)備被侵入，其后果將非常嚴(yán)重；

5.智能移動(dòng)API：在2022年，汽車(chē)API攻擊的數(shù)量增加了380 %，占事件總數(shù)的12 %。隨著這項(xiàng)技術(shù)的使用不斷增加，與API相關(guān)的風(fēng)險(xiǎn)也在增加。

汽車(chē)網(wǎng)絡(luò)攻擊的負(fù)面影響巨大

一旦成為汽車(chē)網(wǎng)絡(luò)攻擊活動(dòng)的受害者，汽車(chē)制造企業(yè)會(huì)在多個(gè)方面受到嚴(yán)重的負(fù)面影響。本次報(bào)告數(shù)據(jù)顯示，汽車(chē)行業(yè)的網(wǎng)絡(luò)攻擊活動(dòng)，對(duì)受害企業(yè)造成的危害主要包括：數(shù)據(jù)/隱私泄露、服務(wù)/業(yè)務(wù)中斷、車(chē)輛失竊、非法控制車(chē)輛、實(shí)施欺詐、地址跟蹤和政策違規(guī)等。

由于車(chē)輛銷(xiāo)售和服務(wù)的需要，汽車(chē)制造商可以獲取到大量的個(gè)人信息和車(chē)輛使用數(shù)據(jù)，以及與汽車(chē)服務(wù)業(yè)務(wù)相關(guān)的其他敏感信息。一旦丟失這些數(shù)據(jù)，企業(yè)將面臨災(zāi)難性的法律違規(guī)后果，會(huì)受到嚴(yán)厲的監(jiān)管處罰。

同時(shí)，汽車(chē)制造企業(yè)從網(wǎng)絡(luò)攻擊中恢復(fù)的成本極其昂貴，不僅需要修補(bǔ)被攻擊的區(qū)域，還要進(jìn)行徹底的安全風(fēng)險(xiǎn)審計(jì)，以確保沒(méi)有其他類(lèi)似的安全漏洞，這也可能會(huì)損害客戶的對(duì)企業(yè)信任。

目前，無(wú)鑰匙啟動(dòng)汽車(chē)是一項(xiàng)非常便利的功能，但也讓盜竊變得越來(lái)越普遍，這讓供應(yīng)商陷入了亟需補(bǔ)救的尷尬境地。此外，很多智能汽車(chē)在行駛中，一旦被攻擊者非法操控，將會(huì)造成嚴(yán)重的安全事故，甚至危害到駕駛者的人身安全。

汽車(chē)網(wǎng)絡(luò)攻擊手法復(fù)雜化

隨著汽車(chē)行業(yè)的不斷變化發(fā)展，非法攻擊者的攻擊手法也在進(jìn)化。研究表明，針對(duì)汽車(chē)行業(yè)的網(wǎng)絡(luò)攻擊正變得更加精細(xì)，以獲得更好的攻擊效果。報(bào)告數(shù)據(jù)顯示，幾乎所有的汽車(chē)攻擊威脅（97 %）都是遠(yuǎn)程進(jìn)行的，而有70 %的遠(yuǎn)程攻擊是在遠(yuǎn)距離實(shí)施的。攻擊者不需要在車(chē)輛附近，只要能夠連接到車(chē)輛的網(wǎng)絡(luò)系統(tǒng)，就可以發(fā)起攻擊。

此外，攻擊者也在不斷改進(jìn)他們的攻擊方法。例如，當(dāng)犯罪分子獲得某款汽車(chē)關(guān)鍵的數(shù)字基礎(chǔ)設(shè)施信息，就會(huì)以此向汽車(chē)制造商勒索高額贖金，同時(shí)還可能非法出售隱私數(shù)據(jù)。在此過(guò)程中，很有可能會(huì)出現(xiàn)影響整個(gè)供應(yīng)鏈的大規(guī)模數(shù)據(jù)泄露、拒絕服務(wù)攻擊和生產(chǎn)中斷。這一問(wèn)題在2022年已經(jīng)表現(xiàn)的非常突出，隨著汽車(chē)數(shù)字化程度的進(jìn)一步提升，Upstream預(yù)計(jì)針對(duì)汽車(chē)行業(yè)的攻擊在未來(lái)幾年將變得更加普遍。

保障汽車(chē)安全是每個(gè)人的責(zé)任

如今，汽車(chē)行業(yè)的網(wǎng)絡(luò)攻擊不僅僅局限于汽車(chē)生產(chǎn)商，供應(yīng)鏈中的每個(gè)組件和環(huán)節(jié)都可能受到威脅。這些攻擊不只是為了經(jīng)濟(jì)利益，還會(huì)危及公共安全和關(guān)鍵信息基礎(chǔ)設(shè)施安全。因此，從智能汽車(chē)基礎(chǔ)設(shè)施制造商到智能汽車(chē)服務(wù)提供商，以及所有汽車(chē)制造領(lǐng)域的利益相關(guān)者，都需要采取行動(dòng)來(lái)保護(hù)汽車(chē)使用的安全和消費(fèi)者利益。只有這樣，汽車(chē)行業(yè)才能繼續(xù)快速且安全地進(jìn)行數(shù)字化轉(zhuǎn)型。

雖然汽車(chē)行業(yè)在網(wǎng)絡(luò)安全方面面臨巨大的挑戰(zhàn)，但也有各種積極的措施正在制定并實(shí)施，以提升車(chē)輛系統(tǒng)的安全彈性。該報(bào)告的研究人員指出，在2023年，汽車(chē)行業(yè)生態(tài)系統(tǒng)內(nèi)的安全合作將會(huì)增加，從而加速整個(gè)行業(yè)的整體保護(hù)。

企業(yè)要跟上監(jiān)管政策的調(diào)整和變化

目前，汽車(chē)行業(yè)的監(jiān)管機(jī)構(gòu)已經(jīng)意識(shí)到，汽車(chē)、基礎(chǔ)設(shè)施和消費(fèi)者隱私面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。他們正在開(kāi)始制定新的法規(guī)，以應(yīng)對(duì)這些風(fēng)險(xiǎn)。在此背景下，汽車(chē)行業(yè)網(wǎng)絡(luò)安全保護(hù)的范圍和措施將會(huì)不斷提升。一些新的行業(yè)標(biāo)準(zhǔn)正在陸續(xù)頒布并實(shí)施，這些新安全標(biāo)準(zhǔn)更加強(qiáng)調(diào)了在汽車(chē)全生命周期的每個(gè)階段，實(shí)施高標(biāo)準(zhǔn)網(wǎng)絡(luò)安全實(shí)踐的重要性。除了在行業(yè)內(nèi)實(shí)施更好的網(wǎng)絡(luò)安全實(shí)踐外，這些新法規(guī)和指南還提供了統(tǒng)一的術(shù)語(yǔ)、方法、目標(biāo)和范圍，以使整個(gè)汽車(chē)行業(yè)在網(wǎng)絡(luò)安全防護(hù)目標(biāo)上達(dá)成一致。