数字化浪潮以来,装备制造业很早就已经开始对传统生产制造方式进行数字化改造。数字技术持续提升了生产效率及产品力,也让消费者感受到了更民主、舒适的驾乘体验。将视线展望到下一个十年——网络连接的丰富,多样性传感器的使用,终端算力的提升都将给产业的未来赋予无限可能。驾驶者和编程人员在迫不及待地将众多新技术引入车内,信息安全管理也在发生根本性的变化,汽车产品的风险控制属性除了主被动安全外,网络安全问题开始被越来越多被行业所提及和重视。
过去的二十余年,汽车行业把大量的数字化技术应用在智能制造、协同工作、设计开发、销售及服务等方面,但是局限于可靠性、产业生态等原因,汽车产品自身的智能化进步速度始终有限。在移动互联网已经发展了十余年的情况下,用户和行业变革者们已经也已经对汽车本身的智能化发展速度失去耐心。同时由于生产环境和物理环境的相对封闭,我们也看到国内大量整车厂针对传统信息安全建设的缺位。信息安全不是个新话题,但是在汽车行业开始被重视并且实践,是近两年才开始的。
近年通过大量的走访、调研,我们发现汽车行业在智能网联汽车信息安全建设过程中,目前存在大量的建设误区,导致成本及资源的浪费,未来甚至可能埋下新的安全隐患。因此我们总结了几大常见误区,供行业管理者参考——
1、信息安全战略不清晰
智能网联汽车信息安全与车辆主被动安全不同,需要同时考虑人员、策略、技术等多维度的风险控制。而风险战略是自上而下,由内而外都需要兼顾的,需要调配供应链、IT、法务、风控、电子电器、车内网络甚至销售运维等多个部门,需要项目参与人都觉有相当的风险控制意识,需要在车辆的整个生命周期都贯彻风险管理措施……因此信息安全战略的缺失或者不完善,很大程度上会影响整车企业信息安全建设的走向。
同时,预计整车企业未来将要面对的合规挑战也将异常艰巨。除国内外层出的网络安全、数据隐私法规以外,随着未来行业标准的落地,车辆信息安全检测也将补位并实施执行。而以当前的情况来看,大量的车企在信息安全建设过程中都存在安全战略不清晰,安全建设被项目主导而非规划主导的情况,甚至许多企业迄今为止没有专职安全团队或者责任人负责车辆信息安全。尤其在安全建设的关键时期,由不同部门在不同框架下实施安全项目也将给企业带来较高的管理成本,不利于企业培养建设独立有效的安全团队。
2、忽略组织安全的必要性
我们一直强调,不安全的组织管理不了安全的系统。同样,如果企业上下没有安全基因或者风险控制意识的话,哪怕实施最高成本的安全技术,都有可能导致安全管理的内部塌陷。信息安全管理作为企业风险控制的重要一环,需要持续地与各种风险管理做并行考虑。由于智能网联汽车生命周期较长,车辆设计开发生产运维等过程涉及到的企业内部部门及人员较多,每一个人都有可能成为关键信息的泄密者,因此这就更需要关注组织安全的重要性。而我们目前看到的现状是,而当前大量的车企对已有组织安全标准ISO 27000系列的贯彻及认证都处于缺失状态。
在智能网联汽车信息安全管理建设过程中,组织安全始终应当是一切信息安全管理的基础,也是企业对合作伙伴、消费者的基本安全承诺。没有人会放心把自己的资产交给一个不可靠的组织,也没有人会相信不可靠的组织会开发运营一套可靠的系统。因此组织安全的重要性、保密文化的建立都需要企业管理者做更好的实践及贯彻。
3、重技术轻管理
目前智能网联汽车处于关键技术发展期,而信息安全建设中的很多难题也让管理者辗转反侧,整个行业目前处于“急体焦虑”阶段。因此有太多时候工程师们将精力放在了如何解决单点技术问题上,如:TCU安全怎么解决,如何用更可靠的代码保护,如何保护云端资产等……很容易就陷入“工程师思维”的泥沼,忽略安全管理的重要性。
与车辆可靠性管理类似,信息安全管理并非采用了最好的安全零部件或者安全产品就够了,是需要同时考虑信息资产的特殊性——许多时候信息资产是不可见的,而对不可见资产的管理,需要综合考虑其在生成、流转、销毁等全生命周期的风险。这其中大量的风险,单靠技术手段是无法有效解决的,如对供应商的风险转移,对内部员工的保密要求,对私钥的严苛管控,对安全权限的合理划分,对安全流程的严格执行等,是不只需要考虑采用何种技术手段的,而要同时兼顾安全管理的并行保障。所有安全准则都会强调安全管理的重要性,而管理实质是人员及流程的管控,成功有效的安全管理可以用相对较低的成本达成更高的管理效果。
4、IT与OT部门间缺乏合作
在汽车行业的传统日常运营工作当中,IT部门一直属于服务保障部门,并不过多的参与到产品的生产设计研发运维等过程。然而随着越来越多的车辆资产都开始拥有数字身份并且连接,智能网联汽车产品开发所涉及到的知识及管理边界已经大量开始覆盖到IT领域。然而解决智能网联汽车信息安全问题又不能仅仅依靠传统的IT风险控制手段及思维,是需要同时考虑汽车行业的特殊性以及IT安全技术的适用性。因此在许多时候,企业内部IT与OT部门在智能网联汽车信息安全管理的问题上是存在大量分歧的。组织安全及云端的资产属于IT管理的范畴,而车内的关键资产属于电子电器部门及智能网联部门负责的范围,但这两者在统一的管理框架下是不能分开的,否则会形成安全管理的鸿沟。这就需要企业内部形成统一协作机制,由更高管理层或者战略层牵头建立沟通渠道,在共同战略目标下各自实施配合安全建设。
IT部门需要学习了解车内网络架构及汽车行业的产品特点,同时OT部门需要尊重认识IT安全管理在智能网联汽车信息系统中的重要性。我们也预测在未来IT部门与OT部门将会产生更多的合作、摩擦及融合,这是数字化技术在行业更深入应用所不可避免的问题。
5、不能深入管理供应链的决心
智能网联汽车的研发生产,需要行业众多供应商的共同协作,这也就致使大量的信息资产管理责任需要由供应链共同承担。然而由于传统生产协作方式的限制,目前国内外主机厂普遍缺乏对供应商必要的安全要求,这也导致了很多时候安全漏洞难以修补,安全责任难以落实,安全评估难以进行……这也是目前智能网联汽车信息安全建设中的重要难题之一。造成问题的原因一方面由于主机厂自身安全管理概念的缺乏,另一方面侧面反映了要求管理供应商对其产品和组织实施安全策略的难度。但这些困难并非不可解,我们欣喜地看到,目前全行业都已经开始对于信息安全有前所未有的重视,众多具有责任心和前瞻视野的供应商已经开始重新审视自身产品安全及组织安全的重要性,并施以安全策略。另外部分主机厂也开始与Tire1共同管理Tire 2,以完整覆盖关键资产的重要安全功能及环节。这都给后来的厂商实施供应链管理带来了启发。
6、以渗透测试替代风险评估
与传统汽车测试不同,信息安全渗透测试是在黑箱情况下以攻击者视角实施安全测试的手段,因此实施效果与实施团队的经验、手段及能力都有较高的关联度。渗透测试着重的是风险挖掘而非风险测量。而风险评估是以管理者视角在开放环境下对信息资产做全面识别、威胁建模、风险定级等量化评估的过程。风险评估是企业确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 然而我们看到业内大量的从业者混淆了渗透测试和风险评估的概念。
在所有严肃的风险管理及信息安全管理项目中,风险评估都是安全项目实施中极其重要的一环,这一点在功能完全管理中也有提现。全行业目前必须知晓并且了解的是,渗透测试并不能完全替代风险评估,同时与信息安全相关的大量风险是不能测试而是需要量化评估的。黑箱情况下的渗透测试并不能最大程度发现企业在安全管理过程当中的漏洞及部分管理风险,同时基于未实施风险评估的信息系统做安全建设,极其容易陷入单点安全的木桶效应当中,由于企业相关部门及人员被安全厂商引导或者管理人员自身知识体系所限,致使单点安全建设过高而忽略了全局安全,或者将不必要安全项目提前实施而忽略了真正紧急项目。
7、对隐私保护的忽视
在数据爆炸时代,用户隐私保护成为众多信息服务提供商不得不面对的重要挑战。从隐私伦理到法律法规,智能网联汽车系统的开发及运维部门都需要从各个角度重新审视自身的隐私保护战略及措施。智能网联汽车因为其特殊属性,系统所能采集、计算的用户数据已经超出当前大多数人可以想象的范畴。从驾驶行为到行驶轨迹甚至生物特征,系统采集并计算后的数据在为用户带来便捷的同时,也带来了使用焦虑。同时我国法律法规中对隐私保护的要求及欧盟GDPR都给数字化转型带来了新的难题。
在当前国内大量车企在数字化建设过程中,由于之前从未取得过如此多的数据资源,全行业缺乏物联网场景下的隐私保护实践,往往容易忽略用户隐私承诺的重要性。而这部分我们认为恰恰是未来可能给相关企业带来重要打击的关键领域。我们认为,隐私保护在未来不仅仅需要站在合规立场考虑,同时需要承载人们越来越多的保护及信任期望,甚至需要建立更广泛的道德与信任立场,从“是否合规”到“是否正确”。
8、业务连续性及功能安全被忽略
在传统驾驶和出行场景下,用户对车辆的使用场景存在大量的不确定性及随机性,这些使用习惯的延续对未来智能网联汽车的业务连续性都将有极其高的要求。智能网联汽车信息系统未来可能会面临黑客攻击、人员误操作、系统宕机等各种内外威胁,面对这些危险的时候,如果不能提供稳定可靠的信息服务,对企业品牌将有可能产生恶劣的影响,因此我们建议,针对智能网联汽车信息系统的业务连续性需要全面严肃地考虑和实施。遗憾的是目前有相当的车企在信息安全建设过程当中忽略了业务连续性的重要性。
与信息安全业务连续性相关联的功能安全建设也需要与信息安全同步考虑,影响到功能安全的信息安全威胁,往往会造成比较严重的后果。在系统、硬件、软件等层级全面考虑信息安全与功能安全的融合管理将是未来汽车安全管理的挑战之一。
9、知识完备性的挑战
智能网联汽车信息安全管理横跨汽车、IT、信息安全等多个专业领域,属于目前新兴的交叉学科,因此对于企业管理者及安全管理人员都有较高的知识完备性挑战,这就需要相关管理者兼具IT与OT相关知识,做到全面的知识覆盖。这样才能形成独立的安全管理思维,避免被“厂商教育”。尤其是部署在车内的部分安全措施,建议安全管理者反复论证,多方讨论,针对企业自己特点和智能网联汽车的特殊性,在有效的风险评估框架下,实施信息安全建设。
在行业标准尚未出台的情况下,不能完整地了解全行业的相关知识,没有有效方法论支撑的情况下,贸然实施安全项目,很有可能给未来信息安全建设带来大量的阻碍,甚至因为安全建设产生更多新的安全风险。
10、单次解决问题的美好幻想
信息安全建设是持续改善,不断演进的过程。稳固有效的信息安全体系绝不可能短期达成。企业信息安全管理者及团队必须要不断地审视自己之前实施过的安全项目是否持续有效,同时与信息安全相关的众多安全专项也需要分步骤定期的实施和检查。这些安全专项包括组织安全、网络威胁管理、身份认证与访问控制、密码学、业务连续性、用户隐私管理、代码及操作系统安全、移动安全、供应链管理、车内网络及接口安全、信任链构建、安全运营中心等。这其中每一个专项都会随着技术的发展而发生一定的改变,因此持续的安全管理就显得尤其重要。