一辆智能汽车每天会产生多少数据?——10TB。
你可能对这个数字没什么概念。不过,英特尔曾给出过另一个数据,2020 年平均每个人每天上网产生的数据量约 1.5G。也就是说,一辆智能汽车产生的数据,几乎相当于 6800 多人在同时上网。
当我们用手机、电脑上网时,时刻被各种安全软件、网关保护,却很少贯注到汽车里的数据安全。直到网上出现各种消息:
XX 政府机关禁止智能网联汽车驶入院内,防止传感器采集周边信息;
XX 黑客入侵了智能汽车的系统,远程打开了别人的后备箱;
XX 网友发现自己在座舱内的表情、动作和语言被摄像头采集了;
……
当这些负面新闻出现时,我们才注意到汽车网络安全有多么重要。
最近,关于智能汽车网络安全与数据安全的法规开始起草立案,网络安全领域这个幕后英雄也开始被大家贯注到。前不久,我们就与刚刚进入市场的以色列网络安全初创公司 C2A Security 创始人兼 CEO Michael Dick 对话,来谈谈关于汽车网络安全那些事儿。
网络安全,智能汽车的阿克琉斯之踵
提到汽车安全问题,Michael Dick 表示,「汽车行业不断发展,现代汽车的硬件软件系统比以前更加复杂,也更加难以管理。「
的确,过去几十年里,从来没有像今天一样关注汽车的网络安全。对于传统汽车来说,安全更多的是硬件间的机械配合或者电信号的传输,与互联网接入的最多也就是车载娱乐系统,网络攻击造成的影响有限。
然而,当网联化和数据让汽车与车外、云端的沟通变得可能,像无形的「触手一样」延伸了汽车的边界。车辆通过传感器采集车外信息,为车辆的辅助驾驶功能提供数据;车载系统的整车控制功能,让汽车的控制更方便;座舱内摄像头采集用户的表情、动作,脱敏后训练系统,能够在驾驶员疲劳时及时提醒,避免疲劳驾驶的危险……
这些信息和数据给用户带来了便利和丰富的功能,但当这些成为网络攻击的潜在对象时,受到威胁的不仅是车载账户、用户的隐私,更有可能是车辆的控制权。
这些智能汽车的好帮手们,也成了智能汽车的阿克琉斯之踵。因此,不论是出于对用户隐私的保护,还是车企、供应商为了自家的产品考虑,汽车的网络安全得到了前所未有的重视。
汽车的网络安全有多复杂?
「汽车的网络安全有多复杂?」
当我们向 C2A Security CEO Michael Dick 提出这个问题时,他给出的答复是:「现代汽车所包含的代码,要多过一架商用喷气式飞机,甚至多过宇宙飞船。」
这个答案听起来可能有点夸张,不过看一下目前的智能汽车和汽车面临的复杂环境,跟宇宙飞船相提并论也不算夸张了。
目前的智能网联汽车最多能容纳 150 个电子控制单元,软件代码约 1 亿行,每个模块都有遭遇网络攻击的可能,每个环节都有可能出现网络安全漏洞,海量的数据规模,本身就给网络安全防护提出了很大的挑战,
然而汽车网络安全要面临的难题还不只是庞大的数据。「汽车供应链高度分散,增加了网络安全计划和维护的难度,使得挑战更加复杂」,Michael Dick 给出了第二个难点。
在复杂的汽车供应链中,从整车厂到 tier1、tier2……每个环节的零部件都有可能成为网络攻击的目标,因此从整车厂到每一级供应商,都需要采取最佳的网络安全措施,全生命周期的监控,确保车辆从零部件设计制造到装配、使用、报废的各个环节都不会出现安全问题。
汽车网络安全不仅要关注数据和供应链, 汽车行驶时的复杂环境,也加大了网络防护的难度 。
曾经在与某网络安全初创公司负责人沟通时,对方表示:汽车行驶时的环境太复杂了,比如车辆开过一个路口,总会收到同一个攻击。后来反复测试发现,这个攻击来自路口咖啡馆的免费 wifi。在车辆行驶的过程中,伴随着高温、振动、通信干扰等问题,类似的情况数不胜数,
可视化的、全生命周期安全监控
海量数据、高度分散的供应链和复杂多变的环境,对汽车网络安全的灵活、高效和预测风险能力提出了更高的要求。基于对汽车安全场景的深刻理解,在汽车网络安全领域深耕 6 年的 C2A Security 与 2020 年发布了首个汽车网络安全生命周期管理平台——AutoSec,主打的就是可视性、控制性和保护性三种重要能力。
首先是针对汽车行业高度分散的供应链,AutoSec 平台采用贯穿汽车生命全周期的模式:从车型概念构思、产品设计、零部件设计制造到整车生产、使用、报废回收,都需要符合汽车网络安全标准 ISO21434。
相比于传统 Tier1 的黑盒子模式,智能汽车时代更多的是需要「白盒子」,也就是赋予整车厂自己定义功能、优化功能的能力。整车厂既希望可以对供应链各环节的安全进行控制,也希望可以根据不断迭代演进的架构,快速调整网络安全的解决方案。
AutoSec 平台可视化的透明结构让整车厂和供应商之间可以协调沟通,整车厂也可以同过可视化平台 360°安全控制操作监测风险评估、计划制定、策略定制,到最终安全策略的实施各个环节。
整车厂和供应商可以利用 AutoSec 平台,根据自己的需求优化每个阶段的安全管理方案。比如在辅助驾驶系统方面,针对同一个平台和架构,车企可能推出不同定位的车型,有的提供 L2 辅助驾驶功能,有的提供 L2++的更高级辅助驾驶功能,甚至部分场景下的 L4 功能。不同的自动驾驶水平对于网络安全的需求等级也是不同的。试想,L4 开放了更多系统控制车辆驾驶的能力,自然有更高的安全限制。在这种情况下,车企就可以利用平台快速调整网络安全保护等级。
最后
有机构预测,到 2024 年市场中 71%的车辆都将搭载智能网联功能,随着智能汽车市场的扩大,网络安全这个汽车背后的功臣,也逐渐被推到前台,成了汽车领域的下一片蓝海。
C2A Security 在这个时候进入中国市场,不可避免地要面临本土竞争者的挑战:有像云驰未来一样深耕汽车安全领域的科技公司,有 360 这种摩拳擦掌进入汽车领域的跨界者,也有 BAT 等虎视眈眈的互联网巨头……
不过,网络安全行业的竞争有所不同。就像 360 总裁周鸿祎曾经说的,其他行业是竞争对手之间在作战,网络安全领域的竞争伙伴们,面对的是同一个对手,那就是不断进化的网络攻击。