早在2016年，三位中國工程師就通過無線電波、聲和光成功“騙過”了特斯拉Autopilot系統；今年2月，以色列Negev大學的一位博士生利用投影儀將二維人體影像投射在道路上，ModelX便開始減速；10月，又有以色列研究團隊挑戰包括特斯拉在內的Beta版交通信號燈和停止標志識別功能，結果是：“只是照亮道路上的物體圖像，或在數字廣告牌中注入幾幀停止標志，汽車就會剎車或可能轉彎，這很危險。”這樣的案例還有很多，不禁讓人們對未來自動駕駛汽車，更確切說是汽車網絡安全捏了一把汗。

或許，隨著國際標準化組織（ISO）和國際汽車工程師學會（SAEInternational）起草的一份標準——ISO/SAE21434《道路車輛-網絡安全工程》發布，情況將有所改觀。國際社會為定義汽車網絡安全標準所做的努力是巨大的，來自世界各地的專家聚集在一起應對這一非常嚴峻的挑戰。預計，最終標準將在2021年出臺。

讓整個供應鏈殊途同歸

該標準草案為確保網絡安全預先設計到車輛中定義了一個結構化過程。它為整個供應鏈提供了一種交流和管理網絡安全風險的通用語言，量化了車輛中不同系統或功能的網絡風險，從而使相關公司就降低該風險所需的嚴格程度達成一致。避免“公說公有理，婆說婆有理”或“不知所云”的尷尬。

標準草案有108頁

ISO/SAE21434為汽車公司建立了一個網絡安全框架，但并未直接涉及或推動技術，旨在加強行業在網絡安全方面的合作，從而開發更好地解決當今和未來網絡安全問題的技術和解決方案。它將有助于工程師在開發過程的每個階段和現場考慮網絡安全問題，創建一個涵蓋掃描漏洞、增強車輛自身網絡安全防御能力的檢查表，并對每個組件的潛在漏洞進行風險分析。

新的國際標準將借鑒SAE的指導方針，構建一個全面的網絡安全工具，在全球范圍內解決行業的所有需求和挑戰。它將有助于解決道路車輛電氣和電子（E/E）系統工程中的網絡安全問題，幫助制造商跟上不斷變化的技術和網絡攻擊方法。

數據采集今非昔比

SAE全球地面車輛標準總監JackPokrzywa回顧說：“早在20世紀90年代初，我們就利用諸如事件數據記錄器或汽車‘黑匣子’之類的設備從汽車上收集到了數據，可以發現車輛碰撞前后的運行信息。

現在的技術已經遠遠超過了當時。其功能包括捕捉位置、天氣和交通狀況等外部信息；而車內傳感器可以收集乘客數據，以便在發生事故時提供有用的信息。他補充道：“生物特征信息也已不在話下，傳感器還可以跟蹤眼球運動，以檢測駕駛員的注意力，從而確定司機是否在開車時睡著了。”

現在的汽車操作系統中連接了很多應用程序，例如，可以記錄通過汽車揚聲器系統撥打的電話信息。這樣做有利于安全，但也會泄露隱私數據。借助互聯網技術，汽車不僅可以打電話，還能告訴人們是否駛入了錯誤的車道，實時更新交通狀況，或者告訴我們最近的加油站在哪里。在把我們從A點送到B點的同時，一些功能增加了從竊取個人信息到將你逐出公路的風險。

不斷增加的攻擊點加大了汽車安全威脅

ISO專家工作組的另一位項目負責人MarkusTschersich博士警告說，在歐洲等一些司法管轄區，車輛識別號（VIN）被視為個人識別信息（PII）。“因此，所有由車輛系統生成并與VIN相關的數據都可以解釋為PII。這些信息可以單獨或組合起來用于識別、定位或聯系個人。例如，從制動、轉向系統和其他汽車部件收集的數據可用來獲取有關駕駛員技能和行為的信息。”他表示，在當今汽車行業，供應鏈的每一步都由高科技軟件指導、監控和分析。只要汽車和外部來源有聯系，就有黑客攻擊的可能性。車輛不僅需要功能安全，更要預防網絡攻擊。

不斷增加的內部和外部連接，使攻擊正在從單一的ECU操作擴展到有組織的網絡范圍的攻擊，其開發驅動力來自于各種利益相關者（所有者、公司、第三方）追求的樂趣、名聲和蓄意破壞。

汽車產品可擴展性攻擊趨勢

隨著連接性的進步，消費者將獲得巨大的利益，因為他們的車輛可以通過空中接收更新改進功能和增強安全性，與其他車輛或城市基礎設施通信，或通過用戶界面提供網絡信息。然而，先進的連接需要先進的網絡安全，以保護駕駛者和其他道路使用者免受潛在的攻擊。這些攻擊可能來自對車輛的物理訪問，甚至通過Wi-Fi或藍牙，而手機連接意味著攻擊者可能從世界任何地方訪問車輛系統。

汽車行業對此心知肚明。要完全解決這些風險需要時間，但首先必須有一個協調的方法來解決這個不斷增長的市場中的網絡安全問題。現有網絡安全標準并不能很好地適應特定于汽車的挑戰。在這些挑戰中，車輛安全首當其沖，車輛中的技術具有很長的生命周期，且系統要駐留在嵌入式控制器中。每個OEM或供應商都必須制定自己的網絡安全要求。事實上，甚至沒有一種通用的方法來描述對車輛各種功能的網絡攻擊所帶來的風險。

這也正是起草ISO/SAE21434的初衷，雖然一個標準本身并不能使車輛免受網絡威脅，但它可以為行業提供工具，以制造出能夠解決風險的產品。

系統和技術需要安全數據、安全網絡和安全組件

與黑客賽跑

今天的汽車充滿了復雜的軟件，不遠的將來會更加復雜。根據麥肯錫公司的數據，汽車現在有大約1億行代碼，而到2030年，其數目將是現在的三倍。一架客機也不過1500萬行代碼，而標準PC操作系統約4000萬行代碼。機器越復雜，整個價值鏈上遭受網絡攻擊的機會就越多。

在各種測試車輛網絡安全系統穩健性的實驗中，“白帽黑客”（即故意侵入系統以測試和評估其安全性的計算機安全專家）證明了遠程控制汽車是可能的。例如，早在2015年，他們就證明了可以控制吉普車的剎車和加速系統、儀表盤等，這是一個可怕的想法。

在另一次對特斯拉的實驗中，計算機安全專家成功地欺騙了汽車的自動駕駛軟件，讓車轉向進入了逆行車道。“其他事件，例如不涉及白帽黑客的事件，也需要以合理的謹慎和關注來處理，”國際標準化組織專家工作組負責道路車輛電氣和電子部件網絡安全WG11的項目負責人ScharfenbergerFabian博士說。

隨著技術越來越深入地融入汽車，汽車工業正面臨著艱巨的任務——保護全球汽車基礎設施，不受那些想要竊取數據并控制自動化系統，以達到惡意目的的網絡罪犯控制。他說：“網絡安全措施需要從系統生成開始進行調整，而且需要通過更新在現場系統中不斷調整。這是一個永無止境的挑戰。”

JackPokrzywa也指出，任何運行在軟件上的設備都可能遭到黑客攻擊。要解決這些問題，就需要行業內，特別是OEM及其供應鏈之間的高度知識共享。美國的汽車信息共享和分析中心（Auto-ISAC）就是這樣的組織。行業成員共享和分析有關車輛可能面臨的任何風險的信息，從而有助于加強網絡安全技術。但是，“還需要一個全球性的整體方法。”

用整體方法解決汽車安全問題

需要全球行動

ScharfenbergerFabian博士說，將供應鏈上的流程和方法作為汽車系統工程中考慮網絡安全的基礎至關重要。“有許多既定的IT安全國際標準（如ISO/IEC27xxx系列）或行業特定的安全標準（如針對工業控制系統的IEC62443系列），但并不能滿足汽車行業的特定需求，”他說。

早在2015年，SAE就成立了車輛網絡安全系統工程委員會（VehicleCybersecuritySystemsEngineeringCommittee），以應對美國市場上的相關威脅和漏洞。一年后，該委員會發布了SAEJ3061《網絡物理車輛系統網絡安全指南》，定義了一個完整的生命周期過程框架，將網絡安全納入網絡物理車輛系統中，涵蓋了從概念階段到生產、運營、服務和報廢的整個過程。

與ISO26262有何不同？

ISO/SAE21434標準草案基于兩個主要因素來衡量風險：攻擊發生的可能性和威脅實現時的影響。該標準還引入了網絡安全保證級別（CAL）的概念，它可以解釋一個系統必須受到多大程度的保護以防受到攻擊。基于CAL，一個組織會相應地擴展其網絡安全活動，也就是說，應根據CAL使用或多或少的嚴格性。CAL和風險有聯系，但不一樣，需要區分CAL和動態風險因素（使CAL盡可能保持穩定）。

CAL與其他概念的關系

這一理念與ISO26262中針對功能安全規定的汽車安全完整性等級（ASIL）類似，ASIL意在處理特定汽車系統的故障風險。事實上，在評估安全風險時，新標準也指出，影響程度必須根據ISO26262等級進行評估。

兩者的關鍵區別在哪里呢？

·在于從動態角度考慮風險：網絡攻擊的可行性會隨著時間的推移而改變。一個系統可能在某一天不受攻擊，但第二天就可能癱瘓了。

·標準草案的第二個主要部分列出了在產品生命周期內管理網絡風險的最佳實踐。從一開始的設計、開發到制造，網絡安全就必須融入到公司流程中。最佳實踐還包括車輛在現場時暴露漏洞的情況，同時還規定了當車輛報廢或出售時要采取的行動，例如，清除系統中可能仍然存在的所有個人數據。

標準草案不會規定具體的網絡安全技術或解決方案。只要我們能以一種共同的方式討論我們所面臨的挑戰，各個公司就可以在其用來應對這些挑戰的技術和方案上各顯神通。

機會才剛剛顯現

那么，機會來了！隨著世界的聯系越來越緊密，我們的汽車也不例外。但更大的連通性使汽車工程網絡安全成為了一個風起云涌的行業。對黑客的這場戰斗還遠未打贏，因此，需要大量的裝備和彈藥！

網絡安全是個大生意，尤其是在車輛方面。對全球汽車網絡安全市場價值的各種估計表明，到2025年，全球汽車網絡安全市場將從2019年的24億美元增長到約60億美元。但是，盡管這個行業蒸蒸日上，面對黑客攻擊的戰爭才剛剛開始。

標準畢竟只是標準

對于一個習慣于分解復雜挑戰和標準化響應的行業來說，網絡安全仍然是一個不規范的反常現象。那么，《標準》能保證真正的網絡安全嗎？MarkusTschersich博士一聲嘆息：“唉，沒有所謂的‘安全技術’可以被標準化。”他說：“所以，僅僅遵循ISO/SAE21434并不能使汽車安全。但其中所述的流程無疑可以為良好的網絡安全工程奠定基礎，并有助于加強合作。”

因為，《標準》包括了對網絡安全風險的評估，還有識別和協調系統網絡安全解決方案，以及在供應鏈上進行溝通的方法，其中包括道路車輛電氣和電子系統（包括其部件和接口）的概念、開發、生產、操作、維護和報廢。

還沒有結束

人們對標準草案的興趣極高。聯合國歐洲經濟委員會第29工作組引用ISO/SAE21434作為滿足歐洲法規（現在標記為UN-1R55）要求車輛具有網絡安全管理系統的方法。這些要求已獲批準，并將于2022年夏季在歐盟具有約束力。

現在，OEM必須將網絡安全視為其核心業務職能和研發工作的組成部分，并要求其供應商確保符合標準，最終將推動整個行業的采用。各國政府也有可能推動ISO/SAE21434，監督其采用和有效性。

JackPokrzywa說：“我不認為我們能阻止破壞系統的企圖，但通過提高安全壁壘，我們當然可以降低風險。”這也將控制開發和維護成本，對所有行業參與者來說都是雙贏。

除了ISO/SAE21434，汽車行業還將繼續制定通用網絡安全標準，以確保可管理的端到端安全解決方案，包括即將出臺的網絡安全工程審計標準。這項工作才剛剛開始，由于汽車行業力圖在汽車生產過程的每一步都確保汽車系統的安全，將使我們駕駛的汽車越來越安全，安全的車輪也將繼續滾滾向前。
責任編輯人：CC