Upstream 2023全球汽车网络安全报告（第四/五章）
2023-05-31 10:18:15   来源：路人甲&清风拂来 汽车信息安全   评论：0 点击：

　　Upstream 2023 全球汽车网络安全报告第四章 网络安全攻击对汽车行业的影响，第五章法规对现实检验，回到了网络安全的两大驱动，事件驱动以及合规驱动。在合规前沿方面突出体现了车辆数据和隐私，以及针对电动车充电基础设施的标准出现。

　　第四章 网络攻击对汽车行业的影响

　　信任面临风险：网络攻击对声誉造成严重影响

　　网络攻击的声誉和财务影响

　　汽车网络攻击可能会产生直接和间接的财务影响，其中许多都非常严重。直接成本包括召回、停产、付款和被盗车辆。间接损害，如被黑客入侵的账户和数据泄露，会损害品牌的声誉和信任，最终会影响收入。

　　预计到2030年，联网汽车市场将达到1970亿美元，对汽车行业的攻击将继续产生深远影响。近年来，越来越多的公司成为日益复杂的网络攻击的受害者。一些攻击可能会对行业产生明显影响，因为恢复有时需要几个月才能完成。

　　埃森哲表示，2019-2023年间，汽车行业将因网络犯罪损失5050亿美元。

　　为了证明攻击的影响，请考虑这个例子，它不仅突出了财务影响，还突出了信任受损的可能性。

　　2022年10月，一家在英国拥有200多家汽车经销商的大型汽车经销商集团遭到LockBit黑客集团的攻击，该集团要求6000万美元的赎金，以解密文件，不在网上泄露。

　　数据和隐私泄露

　　公司的私人数据（PII、客户名单、账单信息、员工信息、供应商数据、协议，甚至内部商业机密）是其最受保护的资产之一。曾发生过多次勒索软件攻击，涉及泄露私人企业和消费者信息。

　　在大多数勒索软件攻击中，使用双重勒索，包括加密文件并要求赎金释放文件；如果受害者拒绝付款，则维护泄露网站以威胁在暗网上发布和出售数据。

　　2022年最引人注目的是Black Basta，这是一家勒索软件集团，以勒索软件即服务（RaaS）的形式运营。该组织于2022年4月成立，到2022106年10月，该组织在美国、欧盟和英国以及包括运输在内的一系列行业中大举破坏了89个组织。许多人猜测，黑巴斯塔是臭名昭著的Conti RaaS的重新品牌，该品牌曾在2021数百次成功的攻击中使用过。

　　另一个例子发生在2022年8月，当时一家拥有9个特许经营权和23个地点的英国汽车经销商遭遇勒索软件攻击，导致一些核心系统无法修复，并要求支付大量费用。该事件导致数据永久丢失，并对公司的网络基础设施造成重大损害，危及员工个人数据和其他敏感信息。

　　车辆盗窃和闯入

　　随着新技术使车辆能够无线解锁和启动，无钥匙汽车盗窃越来越普遍。无钥匙汽车防盗工具包与操纵车辆所需的工具和技术一起在线销售。在过去的十年中，网络事件导致了汽车盗窃和闯入事件的增加。

　　无钥匙汽车盗窃在当今汽车世界已变得无处不在，占汽车行业总事故数量的四分之一以上，在许多国家都是一个严重问题。

　　2022年，世界各地的警察部门警告称，无钥匙车辆盗窃事件激增：

　　2月，英国柴郡警方警告称，英国无钥匙点火OEM车辆被盗事件激增，并发布安全提示，帮助司机保护车辆。

　　4月，英国伯明翰警方报告称，该地区的盗窃案件（主要是无钥匙车辆）增加了36%，共计1.2万起，平均每天超过30起，并向司机发出了警告。

　　5月，加拿大渥太华警察局警告居民，汽车盗窃事件有所增加，目标是一家日本OEM的特定车型，在两周内有21辆汽车被盗。

　　8月，洛杉矶新奥尔良警方报告无钥匙中继袭击激增，导致2022年近1900辆汽车被盗。

　　9月，马萨诸塞州奇科佩市警方报告称，该地区无钥匙汽车盗窃事件有所增加，并就无钥匙车主如何避免此类事件提出了建议。

　　10月，英国大曼彻斯特警方就一家美国OEM的特定型号发出警告，9月下旬，8辆汽车在两周内使用短程无线电波被盗。

　　对保险提供商的财务影响

　　与汽车相关的网络威胁开始引起保险利益相关者的注意，包括对保险费、勒索软件和网络安全承保的影响。

　　连接的SDV有可能彻底改变保险业，引入许多新的基于行为的监控功能，保险公司可以利用这些功能更好地评估风险。但是，连接和基于软件的功能也会带来新的网络风险和安全隐患。随着无钥匙进入系统-这导致了车辆盗窃和闯入事件的增加-甚至“传统”的盗窃风险考虑也在演变。

　　无钥匙车辆盗窃和闯入的问题已经变得如此普遍，以至于2022年5月，保险犯罪局警告称，通过接力攻击导致的汽车盗窃会增加。为了应对这种风险转移，许多保险提供商不再为无钥匙攻击中的财产损失支付索赔，不包括车辆中高价值物品的保险，除非有明显的强制进入迹象。

　　车辆盗窃的数量之多，促使保险提供商了解车辆盗窃攻击媒介和漏洞。

　　此外，保险商正在努力评估新的网络安全风险，包括一种新的损失，如勒索软件导致的部分或全部车辆堵塞。要做到这一点，他们必须了解每种车辆品牌和型号的网络安全态势，以及网络攻击的潜在频率和严重程度。

　　第五章 法规对现实的检验

　　在智能移动生态系统中建立信任

　　实施UNECE WP.29 R155和ISO / SAE 21434

　　为了创建统一的方法来抵御网络威胁，许多汽车原始设备制造商及其供应商开始了这项工作

　　实施WP.29 R155网络安全管理系统(CSMS)和类型批准，116 WP.29 R156软件更新管理系统(SUMS)，117以及ISO/SAE 21434道路车辆-网络安全工程标准。118

　　2022年，美国国家公路交通安全管理局(NHTSA)修订了针对行业领导者的最佳实践指南这是欧盟网络安全机构(ENISA)120和成员行业协会AUTO- ISA .121在过去几年中发布的一系列指南中的最新版本

　　值得注意的是，R155和ISO/SAE 21434都没有概述具体的解决方案和确切的流程，而是强调了实施高标准网络安全分析的重要性。该指南概述了流程，并明确了风险分析和响应目标，强调需要在开发、生产和后期生产阶段考虑终身网络安全威胁和漏洞。

　　UNECE WP.29概述

　　WP.29条例的主要组成部分

　　R155 CSMS 网络安全管理系统

　　网络安全管理从构思到生产发布

　　R156 SUMS 软件更新管理系统

　　网络安全措施确保软件安全整个车辆生命周期的更新

　　受WP.29管制的车辆

　　车辆受R155 (122)， R156(123)或两者监管，具体取决于类别分类。

　　监管对智能出行生态系统的影响

　　这些法规、标准和指南旨在确保高水平的网络安全，从而为客户提供更好的安全和保障，同时建立统一的术语、指南、目标和范围这个行业。制造商需要这种灵活性来实施创新的网络安全方法并不断改进。

　　ISO/SAE 21434建立在ISO 26262道路车辆-功能安全标准的基础上，并要求汽车原始设备制造商和供应商在整个车辆生命周期中实施网络安全。重点是采用“安全从集团开始”的心态，为产品开发和生产的每个步骤以及后期生产阶段建立工程要求。

　　R155要求OEM在车辆生命周期的所有阶段实施和维护威胁分析和风险评估(TARA)。他们还必须创建流程，与他们的Tier-1和Tier-2供应商一起解决和减轻未来的攻击。虽然该法规适用于OEM，但要求证明CSMS包括整个价值链将R155的影响扩大到供应商。R155适用于在参与1958年联合国欧洲经委会运输会议的54个国家内运营的OEM协议和公约。通过R155，整车厂和供应商能够更好地识别和应对与新兴汽车架构、移动服务和联网汽车生态系统相关的安全风险。这些威胁包括:

　　与现场车辆相关的后端服务器

　　车辆的通讯渠道

　　车辆的更新程序

　　车辆的意外人为行为，促进网络攻击

　　车辆的外部连接和连接

　　车辆数据/代码

　　R155法规在汽车网络安全的实际方法方面是独特的，包括威胁的具体例子，具体的缓解措施，以及涵盖流程和治理以及IT的整体方法，产品、OT和物联网视角。

　　在该法规中，明确强调了“流程”一词，旨在为网络安全结构提供指导，而不强制要求低水平的技术规范。今天的汽车网络环境是多样化和动态的，僵化的技术措施会适得其反。该法规有意以技术中立的方式起草，为OEM提供了一定的灵活性，以决定如何确保其车辆的网络安全。

　　2022年证明，全球整车厂的决策正在朝着正确的方向发展。UNECE法规和ISO/SAE 21434标准已经达到了临界质量，并正在改变世界各地的操作。

　　OEM与供应商和网络安全公司密切合作，提供支持全行业合规和认证工作，并建立健全的网络安全治理结构和测试流程。

　　为了促进OEM和供应商之间的合作，欧洲汽车制造商协会(ACEA)和欧洲汽车供应商协会(CLEPA)于2022年10月与Auto-ISAC合作，创建一个中欧汽车网络安全信息共享枢纽。

　　与ISO / SAE 21434建立长期信任

　　WP.29法规与ISO/SAE 21434标准之间的一个关键区别在于，ISO/SAE标准为OEM及其供应商提供了计算资产风险的全面流程，并提出了解决资产风险的方法，同时计算分数并确定漏洞紧急程度的优先级。

　　该标准提供了一个结构化的网络安全框架，将网络安全确立为车辆从概念阶段到退役的整个生命周期中不可或缺的工程元素。

　　此外，为了遵守ISO/SAE 21434标准和R155 cms要求，oem厂商被鼓励在车辆下线后保持vSOC，以便在十多年内实施持续监控。

　　随着2022年发现151个新的cve，利益相关者必须不断审查和实施缓解技术，以保护其产品免受现有漏洞和未来可能出现的未发现漏洞的影响。

　　ISO/SAE 21434和WP.29共同为全球范围内的车辆提供保护。

　　R155是否与内场威胁相一致?

　　Upstream的研究团队分析了2022年公开报道的汽车网络事件，并将它们与R155附录5中列出的七个威胁类别进行了关联。

　　2022年网络事件按R155分类

　　威胁和漏洞

　　监管格局正在发生变化

　　随着智能移动生态系统的发展和新的应用程序和服务的推出，立法者和监管机构正在重新考虑法规及其紧迫性。

　　2021年8月，拜登总统签署了一项行政命令，设定了到2030年美国电动汽车销售份额达到50%的雄心勃勃的目标——建立第一个由50万个电动汽车充电器组成的全国网络

　　2022年，欧盟议员和加州监管机构进一步推进了“零排放”，并批准从2035年开始禁止新的化石燃料汽车。

　　随着世界各国政府推动这一转变，以及软件定义车辆的快速增长，立法者和监管机构越来越意识到车辆、基础设施和车辆面临的网络安全风险、消费者隐私——并开始制定新的法规来解决这些问题。这也包括自动驾驶汽车法规。

　　2022年3月，中国工业和信息化部(MIIT)发布了《车联网网络安全和数据安全标准体系建设指南》。129这些新指南提出了保护中国车联网网络的路线图，重点是加强互联汽车和智能移动的标准和技术要求。考虑到自动驾驶的快速普及和增长的V2X风险，该指南为2023年和2025年设定了具体的监管目标。

　　在美国，加州公共事业委员会(CPUC)授予通用汽车Cruise无人驾驶部署许可证，并于2022年6月正式开始在旧金山对无人驾驶出租车收费。其对最高速度、运营时间和特定区域的限制，不包括任何活跃的重型铁路交叉路口或轻轨交通街道。

　　在中国，百度在武汉和重庆两个城市获得了完全无人驾驶出租车的商业牌照，但受到营业时间限制和多级测试。

　　在日本，国家警察厅(NPA)宣布计划于2023年4月将4级自动驾驶纳入交通法。132即将到来的立法框架于2022年4月到位。日本政府通过了一项法案，为下一代的流动性制定了新规则

　　更新后的交通法将允许无人驾驶汽车在公共安全部门的许可下在全国的公共道路上行驶

　　日本各县的委员会。它包括远程监控、位置验证、针对网络攻击采取安全措施等一定条件。

　　“维修权”法规也在不断演变，这可能会增加安全和网络安全风险。2022年2月，美国立法者提出了两项不同的“维修权”法案。《2022年自由维修法案》(H.R. 6566134)，以及《公平和专业汽车工业维修(Repair)权利法案》(H.R.6570135)，以确保消费者可以通过独立的渠道获得车辆、电子设备和农业设备的维修在过去12个月里，这两项法案都没有取得任何进展。

　　在缅因州，一个由独立汽车修理店老板、员工和其他人组成的联盟开始为一场全州公投收集签名，目标是在2023年11月将其列入选票。该提案将要求汽车制造商将无线维修和诊断信息提供给缅因州的独立商店

　　这一举措与马萨诸塞州选民在2020年批准的一项举措类似，该举措扩大了对车辆数据的获取，并允许独立商店维修日益复杂的汽车技术马萨诸塞州的这项法律目前正受到原始设备制造商在联邦法院的挑战，试图阻止它。

　　在2022年10月，通用汽车告诉一名联邦法官，它无法遵守法律，因为它会带来安全和网络安全风险，设定了一个不可能的时间表，并且与一些联邦法律相冲突为了避免违反法律，斯巴鲁和起亚在马萨诸塞州注册的新车上禁用了远程信息处理系统和相关功能。

　　在澳大利亚，新的汽车信息计划(MVIS)于2022年7月1日生效，要求原始设备制造商以不超过公平市场价值的价格向独立商店提供服务和维修信息

　　道路安全一直是推动新法规出台的主要因素，这可能会对网络安全产生直接影响。2022年1月，欧洲经委会宣布加强商用车紧急制动条例(联合国条例第131号)。新法规预计将要求所有重型车辆安装自动紧急制动系统(AEBS)最早在2023年第一季度。为了促进高速公路和城市地区的安全，联合国法规第133号的修订草案要求重型AEBS能够防止与前方车辆的追尾碰撞，并有效地对行人检测做出反应。新规定还限制了AEBS可以停用的条件，要求在15分钟内自动重新激活。

　　联合国第131号条例的修订可能会引入基于网络的活动，旨在操纵自动紧急制动系统并使其失效，超越重新启动的要求。OEM应考虑监控，以检测单个车辆以及整个车队的激活和停用异常。

　　2022年期间，Upstream的AutoThreat?PRO研究人员发现，各种威胁行为者和车辆消费者在黑暗中寻求信息，意图篡改、控制和移除车辆中的AEBS传感器。

　　传感器篡改的讨论经常导致交换非官方文件和如何在车辆中实施篡改的说明。

　　此外，这种信息交换可能会被黑帽或欺诈操作者利用，他们会继续在暗网论坛上出于恶意目的分享这些敏感信息。传感器和ECU篡改文件可能包含恶意代码、间谍软件或勒索软件，所有这些都有很高的网络风险，并可能使车辆保修失效。

　　NHTSA网络安全最佳实践

　　NHTSA最近发布了最新的新车网络安全最佳实践虽然这些指导方针不具有约束力，但其目标是反映不断发展的攻击方法，以及在整个生态系统中减轻网络安全风险的紧迫感。

　　整个汽车行业网络安全实践的标准化，如UNECE R155，以及NHTSA网络安全的发布

　　现代汽车的最佳实践143标志着政府机构了解保护车辆的重要性，因为它们变得更容易受到黑客攻击。

　　这一迭代的最终版本最初于2016年发布，考虑了新的行业标准和研究，并结合了从现实事件中获得的知识以及关于2016年和2021年提交的评论草稿。NHTSA将继续评估网络安全风险，并随着机动车及其网络安全的发展更新最佳实践。

　　NHTSA建议基于国家标准与技术研究所(NIST)网络安全的分层网络安全方法框架的五大主要功能:“识别、保护、检测、响应和恢复”，包括:

　　对安全关键的车辆控制系统和敏感信息进行基于风险的优先保护

　　对潜在的威胁和事件及时发现和快速反应

　　当攻击发生时快速恢复

　　在整个行业加速采用经验教训的方法，包括有效的信息共享

　　更新后的指南强调了网络安全和安全之间的联系，明确指出，随着汽车行业的联系越来越紧密，安全工程师和安全利益相关者也应该考虑对手操纵信号的能力。

　　NHTSA的最新建议在结构和流程上受到ISO/SAE 21434的启发，但也受到R155的影响，因为它包括了对远程攻击的保护。

　　NHTSA的指导方针强调了合作以确保安全和安全的重要性，建议参与Auto-ISAC作为整个行业有效共享信息的一种手段。Upstream是这方面的支持者;作为协作社区成员，我们维护上游AutoThreat?情报网络事件知识库144并分享见解

　　在我们的年度报告中。Upstream还是Auto-ISAC145和ASRG的合作伙伴和赞助商，Auto-ISAC145是行业知识共享和网络安全最佳实践形成的146。

　　车辆数据和隐私

　　法律是不可避免的

　　联网汽车带来了独特的数据隐私和安全问题，oem和监管机构必须解决这些问题。车辆产生的大部分数据都可以被视为个人数据，大多数消费者认为他们需要立法来保护他们的数据。世界各地的监管机构都注意到了这一点，并正在制定以消费者为中心的车辆数据隐私和安全标准。

　　在美国，管理数据隐私的监管机构联邦贸易委员会(FTC)和国家公路交通安全管理局(NHTSA)目前主张进行行业自我监管，但各个州正在采取截然不同的方法许多人根本就没有开始。到目前为止，只有少数几个州制定了专门针对联网汽车的数据隐私法，尽管还有几个州正在美国各地的立法机构中等待制定。此外，各州可以自行选择通过全面的隐私法案覆盖联网车辆数据。第24号提案将于2023年生效的《加州消费者隐私法》(CPRA)就是一个最好的例子CPRA禁止汽车制造商和保险公司在未经消费者许可的情况下使用精确的地理定位。

　　紧随CPRA之后的是弗吉尼亚州的《消费者数据保护法》(149)和科罗拉多州的《消费者隐私法》(150)，这些法案也将于2023年生效，预计还有六个州将效仿。

　　在欧盟，监管机构正在为数据和人工智能制定新的监管框架，这对汽车行业有重大影响

　　这些框架将包括最近提出的《数据法案》，该法案提出了公平和创新数据经济的措施

　　关于获取车辆数据、功能和资源的具体规定，目前正在由欧洲委员会评估

　　车辆产生的大部分数据都可以被视为个人数据。大多数消费者认为他们需要立法来保护他们的数据。

　　《数据法案》将确保数字环境中的公平，刺激竞争激烈的数据市场，并通过允许连接设备的用户访问他们的数据并与他人共享数据，为数据驱动的创新提供机会。第三方提供售后市场或其他数据驱动的创新服务

　　2022年3月，欧盟委员会正式启动了公众咨询，呼吁提供影响评估的证据收到154份来自行业利益相关者、倡导团体和相关公民的独特意见书对咨询的反馈是将于2022年第四季度完工。

　　自动驾驶和联网车辆数据和隐私法律是不可避免的。在2023-2024年，我们预计美国和欧盟市场将出台新法规，要求消费者同意加入或最低限度地退出。随着法规的不断发展，原始设备制造商需要就自己的数据隐私和安全政策做出战略决策，以最大限度地提高相互信任、合规性和消费者保护。

　　电动汽车充电基础设施新标准正在兴起

　　随着电动汽车数量的不断增加，有关电动汽车充电器和充电基础设施的新标准正在出现。

　　电动汽车充电标准将侧重于确保用户友好、可靠和易于使用的充电器，以及管理电网不断增长的电力需求。

　　英国以《2021年电动汽车(智能充电点)条例》引领潮流，该条例于2022年6月30日生效，适用于私人充电点(家庭或工作场所)

　　英国法规规定，充电器必须满足以下要求:智能功能，如需求侧响应服务;电商互操作;即使失去通信网络接入也能充电;加强安全功能;测量系统提高收费统计数字的透明度;默认非高峰充电计划;随机延迟以防止需求激增;合规保证的合规声明;还有十年的销售记录。

　　该法规的附表1中也概述了新的网络安全要求，该法规于2020年12月30日生效。这些设置都是预先配置的，但车主可以根据自己的喜好进行调整。

　　在美国，运输部与能源部合作，提出了最低标准和要求。国家电动汽车基础设施(NEVI)公式计划资助的项目拟议的美国标准和要求将适用于电动汽车充电基础设施的安装、操作或维护;电动汽车充电基础设施的互操作性;交通管制装置或室内标志与电动汽车充电基础设施一起获得、安装或运营;数据，包括提交该等数据的格式和时间表;网络电动汽车充电基础设施互联互通;以及通过地图应用程序公开的电动汽车充电基础设施位置、定价、实时可用性和可访问性等信息。标准要求各州实施符合其国家电动汽车基础设施部署计划的物理和网络安全战略

　　此外，在2022年10月，国家网络主任办公室(ONCD)主办了电动汽车和电动汽车充电基础设施网络安全执行论坛，与政府和私营部门领导人(包括原始设备制造商、组件制造商)讨论电动汽车和电动汽车供应设备的网络安全问题。

　　电动汽车充电基础设施制造商讨论的重点是共享生态系统愿景的必要性以及电动汽车的新标准。随着新的网络风险的出现，充电基础设施也随之出现。

　　尽管欧盟和美国已同意制定电动汽车充电的共同标准，但这一进程非常缓慢。2022年10月，欧洲议会投票通过了替代燃料基础设施法规，这是一份部署替代燃料的强制性国家目标草案基础设施，这也包括电动汽车充电器的最低要求。