汽车网络安全赛道正在进入新周期。
1月初,HL Mando与全球汽车网络安全方案提供商Argus Cyber Security达成协议,扩大网络安全技术合作。前者将Argus CAN入侵检测系统(IDS)解决方案应用于刹车和转向等电气化系统产品。
目前,从上游芯片开始,到传感器、信息娱乐、车联网、域控制器再到执行系统,汽车智能化供应链正在不断强化产品方案的网络安全配置,比如,硬件安全模块(HSM)已经几乎成为标配。
而在已经过去的2022年,不少汽车制造商正受到网络安全的威胁。这些漏洞(可能位于车端,也可能位于数据后台)可能会让黑客获取车主信息,甚至是接管车辆。
一个网络应用安全团队最新披露,他们在欧洲、亚洲和美国发现了宝马、法拉利、福特、沃尔沃等汽车制造商的严重网络安全问题,以及他们的供应商和远程信息处理合作伙伴的问题。
宝马集团的一位发言人随后表示,IT和数据安全是公司的“最高优先级”,公司正在持续监控,以发现可能的漏洞或安全威胁。这意味着,随着汽车智能化、网联化,尤其是软件定义汽车模式的深入推进,网络安全问题正变得越来越普遍。
不过,一些网络安全解决方案公司认为,目前汽车制造商看待这个(网络安全)问题的态度比较被动,而不是积极主动,“遇到问题,再去解决问题,这是许多汽车制造商的思维方式。”
这就是为什么过去几年汽车行业的网络安全问题频频发生,“原因是,整个汽车行业对待网络安全问题还比较随意。而现在正处于一个关键的拐点,如果不提前采取措施改善网络安全威胁,未来将给行业造成巨大的潜在伤害。”
在此背景下,一些汽车零部件Tier1也在加快相关网络安全业务的布局。「过去,车企可选的网络安全方案商,尤其是有汽车行业从业经验的并不多。」
比如,今年初,法雷奥与C2A Security宣布达成战略合作,为联网、自动驾驶和电动汽车提供自动化网络安全解决方案,“在网络安全方面,软件定义架构涉及更多挑战。“
C2A Security的旗舰产品EVSec是一个创新的网络安全DevOps平台,可帮助汽车制造商管理大规模复杂软件,并建立符合网络安全标准和法规的合规流程。
2022年,博世整合汽车通用平台软件研发业务和云端应用业务至其全资子公司易特驰(ETAS)旗下,旨在打造面向软件定义汽车的新平台。到2022年7月,近千名汽车通用平台软件研发工程师从博世加入易特驰,使其研发工程师、以及拥有研发背景的专家人才数量得到快速扩张。网络安全(SEC)是易特驰六大重点业务板块之一。
在网络安全领域,易特驰提供覆盖系统全生命周期的车辆网络安全解决方案,包括车辆网络安全功能和流程(TARA&CSMS)咨询服务,网络安全开发软件产品(HSM)以及车辆网络安全入侵检测与应急响应(IDPS&VSOC)解决方案。
同时,易特驰持续加强中国本土化研发和技术服务方面的投入。2022年11月,易特驰网络安全实验室Cyber Security Lab在上海正式投入运营。该实验室可为智能汽车提供本地化网络安全整体渗透测试服务,其解决方案覆盖整车、ECU以及云端应用系统等。
而更多的汽车网络安全方案提供商也在快速进入。
TrustInSoft,是一家C/C++软件源代码分析领域的领头羊,该公司在今年初宣布,从过去传统的电信、物联网、半导体市场进入汽车行业,提供基于数学模型的网络安全关键软件验证工具和服务。
这种工具可以帮助汽车制造商和软件开发商在产品开发周期的早期修复错误,允许开发人员和测试人员使用称为形式化方法的数学模型运行相当于数十亿次的测试。
为辰信安,是一家中国的汽车信息安全产品与服务提供商,拥有跨芯片平台、操作系统及通信协议的基础安全产品,同时提供系列化测试工具及安全服务。
该公司的安全测试工具deCORE TSTR能够全面支持满足现有标准、法规和准入关于网络安全和数据安全的测试要求,能够有效支持符合性测试和渗透测试,覆盖零部件、网络通信、关键业务、整车、路边单元、充电桩、手机App和后端平台等方面的测试对象。
这套产品方案的优势是,内容完整,覆盖智能汽车全要素,满足网络安全和数据安全、符合性测试与渗透测试的测试需求;满足国内外法规、标准要求;应用广泛,已经在多家检测机构、OEM、零部件厂商等建立相关安全测试实验室。
类似的行业趋势,也在今年的CES展上成为焦点。
比如,黑莓IVY是与亚马逊网络服务(AWS)联合开发的云连接汽车人工智能平台,旨在为未来的软件驱动汽车构建安全的数据解决方案。黑莓IVY可以采集车辆数据,并在出现故障或维修问题之前,对关键安全部件(如刹车系统、轮胎磨损等)提供预测。
高工智能汽车研究院监测数据显示,2022年1-11月中国市场(不含进出口)乘用车前装标配(含部分3G、5G及其主力的4G)车联网功能交付上险量为1164.33万辆,前装搭载率为66.69%。这也带来了巨大的潜在网络安全威胁。
比如,从WiFi、蓝牙、LTE和5G、CAN总线、V2X以及整个信息娱乐系统都是给汽车制造商带来严重安全风险的入口。同时,随着智能驾驶搭载率的提升,网络安全风险也打开了新的空间。
对于汽车制造商和供应商来说,网络安全屏障必须实现多层面布局。比如,对于供应商来说,他们必须在通信协议层测试设备和组件,包括连接组件。对于汽车制造商来说,他们需要确保所有供应商的部件都经过严格测试。
同时,软件更新(OTA)也需要经过严格的安全验证。
高工智能汽车研究院监测数据显示,今年1-10月乘用车前装标配搭载OTA(含SOTA、FOTA)功能交付上险751.49万辆,同比增长26.69%,前装搭载率为47.31%;其中,自主品牌搭载交付466.72万辆,占比达到62.11%,前装搭载率为65.65%。
随着汽车智能化等级以及信息网络安全要求的进一步提升,OTA供应商的产品方案认证要求也进一步被强化。除了早期的ISO 26262功能安全,汽车ASPICE软件等级(软件过程改进和能力)、ISO/SAE 21434道路车辆网络安全法规等行业规范也越来越多。
比如,德赛西威已经成为国内较早取得ASPICE CL 3认证的OTA解决方案供应商,同时其OTA云平台已经取得国家安全等级保护三级认证以及ISO 27001信息安全管理体系现场认证审核。
此外,面向新一代中央计算整车架构的纵深防御安全体系也是至关重要。比如,为辰信安的IDPS&VSOC产品,适用于分布式及面向服务(SOME/IP、DDS等)通信的域集中式和中央计算集中式E/E架构整车级应用部署。
高工智能汽车研究院监测数据显示,目前国内多个自主品牌(包括理想、小鹏、埃安、路特斯等)已经正在开发全新一代中央计算E/E架构核心技术与车型产品,以进一步提升整车的智能化集成水平。
目前,英伟达和高通两家公司的下一代中央计算平台产品预计都将在2024年左右开始量产。这意味着,新一轮市场争夺战将对供应商提出了更高的要求,网络安全也是其中关键一环。
而对于车企来说,网络安全威胁的代价并不小。
去年底,蔚来在其APP上称,该公司收到外部邮件,对方声称拥有大量的蔚来内部数据以及车主用户数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。
截止去年底蔚来累计交付近29万辆,相当于单车被勒索7.76美元。这意味着,汽车网络安全对于车企来说,潜在价值并不小。
