点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
一、智能汽车网络安全事件
自从2015年Charlie Miller与Chris Valasek成功入侵了一辆中型SUV,汽车网络安全所带来的严重影响开始受到各国监管部门以及公众的普遍重视。随着汽车智能化和网联化的普及,全球各国交通部门、各大汽车协会以及网络安全研究组织均针对汽车网络安全发布了研究报告与最佳实践。
近年来针对智能汽车的攻防研究事件:
启示
上述事件对于智能汽车网络安全可见一斑,而智能汽车网络安全之所以会被各方所关注也主要基于两个原因:传统汽车的电子电气(E/E)系统是一个不联网的信息孤岛,并且使用专用的CAN总线通信方式,这样的状态非常类似于长期处于物理隔离状态下工控和OT系统。
在这种“温室”环境下,汽车制造企业根本不用考虑车辆遭受互联网攻击的风险,而只需关注主动安全/被动安全/功能安全(关于三种安全详见《【安永观察】智能网联汽车信息安全框架》一文)。而当汽车行业准备拥抱互联网时代,车辆需要连入互联网,毫无防御措施的车辆E/E系统就像一个赤手空拳的孩子,懵懵懂懂地走进了黑暗森林。
汽车行业的用户体验正在从单纯的“驾驶乐趣”转变为“驾乘乐趣”,越来越多消费者开始关注车内娱乐、舒适度以及便捷性的体验,而这些都需要由大量的软件去实现,并且由于传统E/E属于分布式架构,总线上连接了大量的电子控制单元(ECU),而每个ECU都由不同的供应商提供,最终导致智能汽车的软件架构就像一套用“铁丝捆起来”的体系,不仅总代码量超过了波音飞机,同时还充斥了各种已知/未知软件漏洞。
二、国际相关标准与认证体系
全球市场
国际上为了应对智能汽车网络安全风险,也相继出台了若干标准及法规:
2016年1月,SAE发布了车辆网络安全里程碑式的标准SAE J3061,该标准提供了车辆网络安全流程框架和指导,帮助组织识别和评估网络安全威胁,并在整个开发生命周期过程中将网络安全设计到车辆系统之中。其对汽车电子系统的网络安全生命周期具有重要的应用意义,为开发具有网络安全要求的汽车电子系统提供了重要的过程依据;
2016年,ISO/TC22道路车辆技术委员会成立SC32/WG11 Cybersecurity信息安全工作组,开展信息安全国际标准的制定工作;
2017年3月,ISO/TC22/SC32/WG11 Cybersecurity 信息安全工作组确定了新标准的范围,并将国际标准暂定编号为ISO/SAE AWI 21434,该标准主要从风险评估管理、产品开发、运行/维护、流程审核等四个方面来保障汽车网络安全工程工作的开展,且部分相关工作成果将作为联合国工作组(UNECE WP.29 TFCS)的输入和参考;
2020年2月ISO/TC 22/SC 32发布了《ISO/SAE DIS 21434》,并在前言中声明其取代了SAE J3061_201601。
2014年12月,UNECE WP.29在其原有的智能交通ITS非正式工作组的基础上成立了智能交通与自动驾驶非正式工作组ITS/AD,并将汽车信息安全标准纳入协调范围。2016年12月,由英国和日本作为主席国,成立了专门的汽车信息安全标准任务组UN Task Force on Cyber security and OTA issues (CS/OTA),围绕汽车网络安全、数据保护和软件升级OTA三部分开展国际法规及标准的制定工作;
2018年9月UNECE WP.29 TFCS工作组发布了《UN_ECE-WP.29_recommendations on Cyber Security》《UN_ECE-TRANS-WP29-2017-data protection》《UN_WP29 software update GRVA-01-18》三份标准,其中Recommendations on Cyber Security中ANNEX A(Draft new Regulation on uniform provisions concerning the approval of cyber security)在2020年作为CSMS认证与车型审批的正式法规被颁布,并将于2021年1月正式生效;
2020年UNECE WP.29 TFCS工作组将CS Recommendation附录A中的《Draft new Regulation on uniform provisions concerning the approval of cyber security》作为一项面向汽车制造企业和车型的网络安全准入法规正式发布,并成为参与1958协定书(包含了德国、法国等欧盟国家,以及英国、澳大利亚、日本、韩国等国家)国家通行互认的网络安全认证,即《UN Regulation on uniform provisions concerning the approval of vehicles with regard to cyber security and of their cybersecurity management systems》;
另据UNECE WP.29 TFCS在2020年7月24日的工作会议中的最新讨论,其正在考虑将UN CS and CSMS Regulation推广至1998协定书国家范围。需要指出的是,中国并不在1958协定国中,但已在2000年10月10日正式加入了1998协定国,我们将持续关注在未来该变化可能对中国车企及中国市场上的国际品牌车企带来的影响。
启示
国际标准和法规的相继颁布,意味着车辆网络安全已经成为继主动安全、被动安全、功能安全之后的“第四安全”。尤其是UNECE WP.29 TFCS在传统的车辆形式审核中加入了对车企和车辆网络安全的相关要求,已经使网络安全成为车辆制造商必须应对的监管要求。可以说这些国际标准和法规对全球的各大汽车品牌有着重大和深远的影响,包括中国的一些走向国际的车企。车辆网络安全已经进入到从符合标准变成遵从法规的时代。
中国市场
由于网络安全属于国家安全战略,而智能网联汽车又在2015年被列为中国国家战略层面的重要产业,因此我国针对智能汽车网络安全风险,也从政策指导意见以及标准体系建设方面开展了各项相关工作:
启示
中国是全球汽车消费大国,中国在国际舞台上的汽车网络安全标准与合规遵从的标准制定与推进工作越来越崭露头角,其制定的各项汽车网络安全标准对全球的各大国际品牌的车企未来几年在中国的业务经营与发展,有着积极的指导意义。
三、UN CS and CSMS Regulation法规解读
法规主要内容:
如UNECE WP.29 TFCS这份准入认证的标题所述,此认证包含了两部分内容(如下图所示1):
第一部分是针对车辆制造企业的网络安全管理体系(CSMS)的评估和认证;
第二部分是在车辆型式认证(VTA)过程中的针对网络安全的评估和认证;
根据法规以及解释性文件中的描述,我们可以将智能汽车网络安全理解为针对车辆制造商的网络安全管理体系要求,以及针对车辆类型的网络安全能力要求。并且当车辆制造商申请车辆型式认证时,必须首先满足自身建立了网络安全管理体系的要求,然后才有资格证明其车辆类型具备了网络安全能力。
关于法规适用范围:本法规目前适用于1958协定书的参与国家,以及UNECE WP.29定义的M/N型车,以及安装有至少一套ECU的O型车。另外UN CS and CSMS Regulation所针对的需要考虑网络安全的车辆类型,可以理解为在“车辆制造商名称”与“与网络安全相关的E/E架构和外部接口的基本要素”两个方面没有差异的特定类型的车辆。基于这里对车辆类型的定义,如果车辆制造商采用同一套E/E架构设计多个不同品牌车辆,可以只申请一个车辆类型的审核,同时描述不同品牌车辆相对于这个车辆类型的局部差异。
考虑到一个车型的开发过程可能长达4-6年(新能源汽车可能会大幅缩短),因此UNECE WP.29 TFCS将本法规的过渡时间定义为48个月,即从2021年1月正式生效,2025年1月过渡期结束。这个过渡期是针对现有架构,如果是新开发架构,则应该从项目概念阶段就充分考虑可能存在的网络安全相关风险,同时欧盟定义了新整车类型的审批时间为2022年7月。需要注意的是,如果2024年7月后还没有通过UN CS and CSMS Regulation认证的车辆,可能无法完成车辆的首次注册。对于首次注册的理解,我们认为车辆连入欧盟的车联网系统需要一个认证注册过程,如果没有通过VTA中关于网络安全要求的审核,则可以认为该车型存在网络安全的隐患,并可能对车辆自身和道路其他车辆产生影响,因此欧盟会出于安全考虑,禁止其连入车联网系统。
参考《Explanations for the suggested amendments to GRVA-05-05-Rev.1》
启示
综上,作为车辆制造企业,在UN CS and CSMS Regulation框架下考虑车辆网络安全,需要关注如下几种相关情况:
同一车辆制造商,使用了不同的E/E架构及外部接口,则需要针对不同E/E架构分别做VTA;
同一车辆制造商,在不同品牌下使用同一套E/E架构及外部接口,则只需要做一次VTA即可,但需要说明不同品牌车辆基于此架构具体实现的差异;
车辆制造商对于现有E/E架构及外部接口的网络安全改进应尽量在2024年7月前完成,考虑到认证过程所花费的时间,这个时间可能需要提前至2024年初(最佳状态是在2022年7月前完成),否则可能会导致销售的新车无法完成首次车辆注册(即无法连入车联网);
车辆制造商对于新E/E架构及外部接口的开发设计,应当从概念阶段就充分考虑网络安全的影响和必要的缓解措施,并且如果需要在2022年7月获得VTA审批,则必须要在2020年第四季度,也就是现在开始启动相关准备工作;
四、应对网络安全法规的企业行动建议
车辆制造商和其车辆类型,从法规角度遵从UN CS and CSMS Regulation的网络安全要求可以拆解为如下两个过程,并且可以遵循相应的参考标准:
CSMS
车辆制造商建立网络安全体系(CSMS)的评估分析、整改设计、建设实施过程;
车辆制造商的网络安全体系的评估分析、整改设计、建设实施过程
其中,ISO PAS 5112定位于对ISO/SAE 21434标准内容进行审计的指导,VDA QMC ACSMS定位于对UN CS and CSMS Regulation内容进行审计的指导。ISO/SAE 21434定义了车辆网络安全的完整框架和产品网络安全生命周期的相关流程,可以指导车辆制造商构建其网络安全管理体系。而Vehicle-SOC与漏洞管理是满足UN CS and CSMS Regulation和ISO/SAE 21434关于持续化网络安全监控要求的必要工作。
行动建议
安永根据以往信息安全管理体系建设的经验,将CSMS体系建设过程分解为若干子目标:
网络安全管理组织:CSMS组织建设规划,网络安全人员可按要求规范性开展工作,常态化开展工作并定期输出工作报告。
网络安全管理体系:完成网络安全管理体系的设计和实施,制度流程符合ISO/SAE 21434标准要求,包括详细的流程与操作步骤、指引及模板,确保ISO/SAE 21434 标准的完整导入。
网络安全运行体系:建立网络安全管理体系的技术支撑能力,支持包括概念和开发阶段的风险评估活动、组件和集成验证阶段的测试活动,以及车辆运营环节的网络安全威胁检测与应急响应。
网络安全风险管理:建立车辆网络安全风险评估流程和工程化方法,并与车辆网络安全开发流程融合,确保车辆网络安全能力的落地。
网络安全评价体系:形成有效的网络安全评价体系,并关联到安全信用指标与团队绩效,形成定期的信息安全月度报告及管理层季度报告。
网络安全审计体系:形成有效的网络安全(内外部)审计体系,对网络安全违规行为的监控方法、检查方法、证据收集、责任认定进行规范管理。
网络安全技术体系:建立端到端(车端/手机端/云端)的网络安全韧性防御体系,具备识别/防御/检测/响应/恢复的韧性能力。
VTA
车辆型式认证(VTA)的基础是车辆制造商具备了网络安全管理体系及相关能力,而实际工作的核心内容是以风险为导向的识别、评估、处置与验证过程。根据1958年协议,车辆类型仅涉及“轮式车辆”本身,然而目前缓解措施将包含车辆类型范围以外的内容如:后台(TSP)、互联网、生产线工具、智能手机等,并且还混合了ISMS(信息安全管理系统)和CSMS(网络安全管理系统)的安全管控措施等内容;
引自:《Explanations for the suggested amendments to GRVA-05-05-Rev.1》
安永根据以往风险评估的经验,将附录五中PART A中列出的威胁和攻击方法,按照“威胁利用脆弱性形成风险”的逻辑进行重构及分类,并根据PART B/C以及网络安全韧性相关标准和优秀实践归纳成针对风险的处置方案库,最终形成一套能指导车辆制造企业开展具体的组件级的风险评估与架构设计的优秀实践与工程化方法。
行动建议
车辆制造商根据VTA相关要求,在产品设计开发阶段应通过风险评估定义整车及组件网络安全目标和要求,其中在场景化风险评估过程中,可以采取WP.29推荐的方式实施附录五的要求:
关于场景化风险评估的方法,可以参考ISO/SAE 21434第八章的相关内容。在作者上一篇《【安永观察】构建以业务为导向、风险为驱动的智能汽车信息安全风险管理思路》中也有相关讨论。
在结合ISO/SAE 21434第八章、HAVENS、TARA以及攻击树模型等方法进行风险评估的过程中,车辆制造商可以归纳梳理出一套可落地的、能够指导实际操作的工程化方法,以防止由于评估者对标准理解的不一致、网络安全经验的水平不同、相关背景信息了解不足,以及评估过程中的主观判断所导致的评估结果不一致和质量参差不齐的问题。
场景化风险评估的大致操作步骤包括:识别网络安全相关的业务场景、基于业务场景识别关键资产与业务逻辑、识别关键资产在该业务场景下的网络安全风险、结合业务逻辑和资产脆弱性识别该场景下可能存在的攻击路径、结合该业务场景对关键资产和攻击路径进行风险评估、针对高级别风险结合业务场景设计网络安全韧性处置方案、归纳整理韧性处置方案设计网络安全目标/要求/声明,最后结合软硬件架构对网络安全要求进行详细化设计,从而指导开发阶段的车辆网络安全功能实施落地。
其中在关键资产和攻击路径的风险识别过程中需要注意两点:首先应当充分考虑附录五PART A所列出的攻击方法。其次,对于某些复杂的资产组件,需要进行更细粒度的解构,以便识别出更准确的网络安全风险。
另外值得注意的是,车辆制造商在参照附录五开展风险评估的过程中,WP.29的一份解释性文档《Explanations for the suggested amendments to GRVA-05-05-Rev.1》提出“当前的风险及缓解表还不完整,并可能是过时的,在发现新的漏洞和缓解措施时需要定期更新(CS Regulation中的附录五相对于CS Recommendation已经做了更新),当漏洞和攻击不断发展时,一份固定内容的缓解措施列表是没有意义的。”
五、结语
由于网络安全是伴随着攻防技术的相互博弈迅速发展的,且不同行业、场景以及产品型号都会涉及到不同的网络安全风险,因此UNECE WP.29 TFCS对于车辆网络安全采取了“以风险为导向”结合“安全左移”的思路,即通过全面的风险评估,在车辆设计开发阶段构建车辆网络安全能力,并结合持续化监控与OTA(参考UNECE Software Update Management System)技术,应对层出不穷的网络安全威胁和挑战。
在《Overview of the recommendation cybersecurity》一文中,UNECE WP.29 TFCS表达了两个重要观点:
CS Recommendation为全球车辆网络安全提供了一个基线;
要求车辆制造商提供一个合理的论据,说明为什么他们的车辆是网络安全的(以及实现这一点的逻辑结构);
从上述观点不难看出,UNECE WP.29 TFCS并不是给出了一套严格的技术认证标准,而是客观的基于网络安全的实际情况,认为没有绝对可靠的安全措施和要求,更不会有一套可以适用于各种车型的网络安全技术要求。因此在提案和法规的正文中给出的是对车辆制造商的网络安全能力、制度和流程要求,并在附录中给出了一些可供参考的技术要求。
车辆制造商应在前期建立网络安全体系(CSMS)时充分考虑上述思想,通过组织内外部的协作与推动,建立健全不同层级的体系制度规范与流程作业指导书,从汽车产品开发阶段直至其生命周期,持续开展网络安全风险管理活动,并通过各类工具与平台保留在其过程所产生的各类过程文档,作为规范化经营与法规遵从的有效支撑。
本系列的智能汽车网络安全合规系列文章,由数位国内同时具备网络安全管理体系与智能车辆技术知识的顾问,结合安永在同类型项目实践经验总结形成,旨在为中国的汽车行业出海或跨国合作、企业内部从事网络安全工作的团队,或为企业提供网络安全服务的专业人士提供参考与帮助。智能汽车的网络安全产品合规是一个跨界的新兴领域,在企业数字化转型与智能制造的战略格局下应运而生。安永始终致力于助力企业构建美好的商业社会,帮助企业建立与完善网络安全管理体系,为汽车行业的管理水平与产品质量带来质的提升。
来源:安永EY
码上报名
AutoSec 2022 第六届中国汽车网络安全周暨汽车数据安全展火热报名中
会员权益: (点击可进入)谈思实验室VIP会员
END
微信入群
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。
谈思实验室,为汽车科技赋能,推动产业创新发展!
如有侵权请联系:admin#unsafe.sh