來源 | 安永EY
一、智能汽車網絡安全事件
自從2015年Charlie Miller與Chris Valasek成功入侵了一輛中型SUV,汽車網絡安全所帶來的嚴重影響開始受到各國監管部門以及公眾的普遍重視。隨著汽車智能化和網聯化的普及,全球各國交通部門、各大汽車協會以及網絡安全研究組織均針對汽車網絡安全發布了研究報告與最佳實踐。
上述事件對于#智能汽車#網絡安全可見一斑,而智能汽車網絡安全之所以會被各方所關注也主要基于兩個原因:傳統汽車的電子電氣(E/E)系統是一個不聯網的信息孤島,并且使用專用的CAN總線通信方式,這樣的狀態非常類似于長期處于物理隔離狀態下工控和OT系統。
在這種“溫室”環境下,汽車制造企業根本不用考慮車輛遭受互聯網攻擊的風險,而只需關注主動安全/被動安全/功能安全。而當汽車行業準備擁抱互聯網時代,車輛需要連入互聯網,毫無防御措施的車輛E/E系統就像一個赤手空拳的孩子,懵懵懂懂地走進了黑暗森林。
汽車行業的用戶體驗正在從單純的“駕駛樂趣”轉變為“駕乘樂趣”,越來越多
消費者開始關注車內娛樂、舒適度以及便捷性的體驗,而這些都需要由大量的軟件去實現,
并且由于傳統E/E屬于分布式架構,總線上連接了大量的電子控制單元(ECU),而每個ECU都由不同的供應商提供,最終導致智能汽車的軟件架構就像一套用“鐵絲捆起來”的體系,不僅總代碼量超過了波音飛機,同時還充斥了各種已知/未知軟件漏洞。
國際上為了應對智能汽車網絡安全風險,也相繼了若干標準及法規:
2016年1月,SAE發布了車輛網絡安全里程碑式的標準SAE J3061,該標準提供了車輛網絡安全流程框架和指導,幫助組織識別和評估網絡安全威脅,并在整個開發生命周期過程中將網絡安全設計到車輛系統之中。其對汽車電子系統的網絡安全生命周期具有重要的應用意義,為開發具有網絡安全要求的汽車電子系統提供了重要的過程依據;
2016年,ISO/TC22道路車輛技術委員會成立SC32/WG11 Cybersecurity信息安全工作組,開展信息安全國際標準的制定工作;
2017年3月,ISO/TC22/SC32/WG11 Cybersecurity 信息安全工作組確定了新標準的范圍,并將國際標準暫定編號為ISO/SAE AWI 21434,該標準主要從風險評估管理、產品開發、運行/維護、流程審核等四個方面來保障汽車網絡安全工程工作的開展,且部分相關工作成果將作為聯合國工作組(UNECE WP.29 TFCS)的輸入和參考;
2020年2月ISO/TC 22/SC 32發布了《ISO/SAE DIS 21434》,并在前言中聲明其取代了SAE J3061_201601。
2014年12月,UNECE WP.29在其原有的智能交通ITS非正式工作組的基礎上成立了智能交通與自動駕駛非正式工作組ITS/AD,并將汽車信息安全標準納入協調范圍。2016年12月,由英國和日本作為主席國,成立了專門的汽車信息安全標準任務組UN Task Force on Cyber security and OTA issues (CS/OTA),圍繞汽車網絡安全、數據保護和軟件升級OTA三部分開展國際法規及標準的制定工作;
2018年9月UNECE WP.29 TFCS工作組發布了《UN_ECE-WP.29_recommendations on Cyber Security》《UN_ECE-TRANS-WP29-2017-data protection》《UN_WP29 software update GRVA-01-18》三份標準,其中Recommendations on Cyber Security中ANNEX A(Draft new Regulation on uniform provisions concerning the approval of cyber security)在2020年作為CSMS認證與車型審批的正式法規被頒布,并將于2021年1月正式生效;
2020年UNECE WP.29 TFCS工作組將CS Recommendation附錄A中的《Draft new Regulation on uniform provisions concerning the approval of cyber security》作為一項面向汽車制造企業和車型的網絡安全準入法規正式發布,并成為參與1958協定書(包含了德國、法國等歐盟國家,以及英國、澳大利亞、日本、韓國等國家)國家通行互認的網絡安全認證,即《UN Regulation on uniform provisions concerning the approval of vehicles with regard to cyber security and of their cybersecurity management systems》;
另據UNECE WP.29 TFCS在2020年7月24日的工作會議中的最新討論,其正在考慮將UN CS and CSMS Regulation推廣至1998協定書國家范圍。需要指出的是,中國并不在1958協定國中,但已在2000年10月10日正式加入了1998協定國,我們將持續關注在未來該變化可能對中國車企及中國市場上的國際品牌車企帶來的影響。
國際標準和法規的相繼頒布,意味著車輛網絡安全已經成為繼主動安全、被動安全、功能安全之后的“第四安全”。尤其是UNECE WP.29 TFCS在傳統的車輛形式審核中加入了對車企和車輛網絡安全的相關要求,已經使網絡安全成為車輛制造商必須應對的監管要求。可以說這些國際標準和法規對全球的各大汽車品牌有著重大和深遠的影響,包括中國的一些走向國際的車企。車輛網絡安全已經進入到從符合標準變成遵從法規的時代。
由于網絡安全屬于國家安全戰略,而智能網聯汽車又在2015年被列為中國國家戰略層面的重要產業,因此我國針對智能汽車網絡安全風險,也從政策指導意見以及標準體系建設方面開展了各項相關工作:
中國是全球汽車消費大國,中國在國際舞臺上的汽車網絡安全標準與合規遵從的標準制定與推進工作越來越嶄露頭角,其制定的各項汽車網絡安全標準對全球的各大國際品牌的車企未來幾年在中國的業務經營與發展,有著積極的指導意義。
三、UN CS and CSMS Regulation法規解讀
如UNECE WP.29 TFCS這份準入認證的標題所述,此認證包含了兩部分內容(如下圖所示1):
第一部分是針對車輛制造企業的網絡安全管理體系(CSMS)的評估和認證;
第二部分是在車輛型式認證(VTA)過程中的針對網絡安全的評估和認證;
根據法規以及解釋性文件中的描述,我們可以將智能汽車網絡安全理解為針對車輛制造商的網絡安全管理體系要求,以及針對車輛類型的網絡安全能力要求。并且當車輛制造商申請車輛型式認證時,必須首先滿足自身建立了網絡安全管理體系的要求,然后才有資格證明其車輛類型具備了網絡安全能力。
關于法規適用范圍:本法規目前適用于1958協定書的參與國家,以及UNECE WP.29定義的M/N型車,以及安裝有至少一套ECU的O型車。另外UN CS and CSMS Regulation所針對的需要考慮網絡安全的車輛類型,可以理解為在“車輛制造商名稱”與“與網絡安全相關的E/E架構和外部接口的基本要素”兩個方面沒有差異的特定類型的車輛。基于這里對車輛類型的定義,如果車輛制造商采用同一套E/E架構設計多個不同品牌車輛,可以只申請一個車輛類型的審核,同時描述不同品牌車輛相對于這個車輛類型的局部差異。
考慮到一個車型的開發過程可能長達4-6年(新能源汽車可能會大幅縮短),因此UNECE WP.29 TFCS將本法規的過渡時間定義為48個月,即從2021年1月正式生效,2025年1月過渡期結束。這個過渡期是針對現有架構,如果是新開發架構,則應該從項目概念階段就充分考慮可能存在的網絡安全相關風險,
同時歐盟定義了新整車類型的審批時間為2022年7月。
需要注意的是,如果2024年7月后還沒有通過UN CS and CSMS Regulation認證的車輛,可能無法完成車輛的首次注冊。對于
首次注冊的理解
,我們認為車輛連入歐盟的車聯網系統需要一個認證注冊過程,如果沒有通過VTA中關于網絡安全要求的審核,則可以認為該車型存在網絡安全的隱患,并可能對車輛自身和道路其他車輛產生影響,因此歐盟會出于安全考慮,禁止其連入車聯網系統。
參考《Explanations for the suggested amendments to GRVA-05-05-Rev.1》
綜上,作為車輛制造企業,在UN CS and CSMS Regulation框架下考慮車輛網絡安全,需要關注如下幾種相關情況:
同一車輛制造商,使用了不同的E/E架構及外部接口,則需要針對不同E/E架構分別做VTA;
同一車輛制造商,在不同品牌下使用同一套E/E架構及外部接口,則只需要做一次VTA即可,但需要說明不同品牌車輛基于此架構具體實現的差異;
車輛制造商對于現有E/E架構及外部接口的網絡安全改進應盡量在2024年7月前完成,考慮到認證過程所花費的時間,這個時間可能需要提前至2024年初(最佳狀態是在2022年7月前完成),否則可能會導致銷售的新車無法完成首次車輛注冊(即無法連入車聯網);
車輛制造商對于新E/E架構及外部接口的開發設計,應當從概念階段就充分考慮網絡安全的影響和必要的緩解措施,并且如果需要在2022年7月獲得VTA審批,則必須要在2020年第四季度,也就是現在開始啟動相關準備工作;
車輛制造商和其車輛類型,從法規角度遵從UN CS and CSMS Regulation的網絡安全要求可以拆解為如下兩個過程,并且可以遵循相應的參考標準:
車輛制造商建立網絡安全體系(CSMS)的評估分析、整改設計、建設實施過程;
車輛制造商的網絡安全體系的評估分析、整改設計、建設實施過程
其中,ISO PAS 5112定位于對ISO/SAE 21434標準內容進行審計的指導,VDA QMC ACSMS定位于對UN CS and CSMS Regulation內容進行審計的指導。ISO/SAE 21434定義了車輛網絡安全的完整框架和產品網絡安全生命周期的相關流程,可以指導車輛制造商構建其網絡安全管理體系。而Vehicle-SOC與漏洞管理是滿足UN CS and CSMS Regulation和ISO/SAE 21434關于持續化網絡安全監控要求的必要工作。
安永根據以往信息安全管理體系建設的經驗,將CSMS體系建設過程分解為若干子目標:
網絡安全管理組織:CSMS組織建設規劃,網絡安全人員可按要求規范性開展工作,常態化開展工作并定期輸出工作報告。
網絡安全管理體系:完成網絡安全管理體系的設計和實施,制度流程符合ISO/SAE 21434標準要求,包括詳細的流程與操作步驟、指引及模板,確保ISO/SAE 21434 標準的完整導入。
網絡安全運行體系:建立網絡安全管理體系的技術支撐能力,支持包括概念和開發階段的風險評估活動、組件和集成驗證階段的測試活動,以及車輛運營環節的網絡安全威脅檢測與應急響應。
網絡安全風險管理:建立車輛網絡安全風險評估流程和工程化方法,并與車輛網絡安全開發流程融合,確保車輛網絡安全能力的落地。
網絡安全評價體系:形成有效的網絡安全評價體系,并關聯到安全信用指標與團隊績效,形成定期的信息安全月度報告及管理層季度報告。
網絡安全審計體系:形成有效的網絡安全(內外部)審計體系,對網絡安全違規行為的監控方法、檢查方法、證據收集、責任認定進行規范管理。
網絡安全技術體系:建立端到端(車端/手機端/云端)的網絡安全韌性防御體系,具備識別/防御/檢測/響應/恢復的韌性能力。
VTA
車輛型式認證(VTA)的基礎是車輛制造商具備了網絡安全管理體系及相關能力,而實際工作的核心內容是以風險為導向的識別、評估、處置與驗證過程。根據1958年協議,車輛類型僅涉及“輪式車輛”本身,然而目前緩解措施將包含車輛類型范圍以外的內容如:后臺(TSP)、互聯網、生產線工具、智能手機等,并且還混合了ISMS(信息安全管理系統)和CSMS(網絡安全管理系統)的安全管控措施等內容。
引自:《Explanations for the suggested amendments to GRVA-05-05-Rev.1》
安永根據以往風險評估的經驗,將附錄五中PART A中列出的威脅和攻擊方法,按照“威脅利用脆弱性形成風險”的邏輯進行重構及分類,并根據PART B/C以及網絡安全韌性相關標準和優秀實踐歸納成針對風險的處置方案庫,最終形成一套能指導車輛制造企業開展具體的組件級的風險評估與架構設計的優秀實踐與工程化方法。
車輛制造商根據VTA相關要求,在產品設計開發階段應通過風險評估定義整車及組件網絡安全目標和要求,其中在場景化風險評估過程中,可以采取WP.29推薦的方式實施附錄五的要求:
關于場景化風險評估的方法,可以參考ISO/SAE 21434第八章的相關內容。在作者上一篇《【安永觀察】構建以業務為導向、風險為驅動的智能汽車信息安全風險管理思路》中也有相關討論。
在結合ISO/SAE 21434第八章、TARA以及攻擊樹模型等方法進行風險評估的過程中,車輛制造商可以歸納梳理出一套可落地的、能夠指導實際操作的工程化方法,以防止由于評估者對標準理解的不一致、網絡安全經驗的水平不同、相關背景信息了解不足,以及評估過程中的主觀判斷所導致的評估結果不一致和質量參差不齊的問題。
場景化風險評估的大致操作步驟包括:識別網絡安全相關的業務場景、基于業務場景識別關鍵資產與業務邏輯、識別關鍵資產在該業務場景下的網絡安全風險、結合業務邏輯和資產脆弱性識別該場景下可能存在的攻擊路徑、結合該業務場景對關鍵資產和攻擊路徑進行風險評估、針對高級別風險結合業務場景設計網絡安全韌性處置方案、歸納整理韌性處置方案設計網絡安全目標/要求/聲明,最后結合軟硬件架構對網絡安全要求進行詳細化設計,從而指導開發階段的車輛網絡安全功能實施落地。
其中在關鍵資產和攻擊路徑的風險識別過程中需要注意兩點:首先應當充分考慮附錄五PART A所列出的攻擊方法。其次,對于某些復雜的資產組件,需要進行更細粒度的解構,以便識別出更準確的網絡安全風險。
另外值得注意的是,車輛制造商在參照附錄五開展風險評估的過程中,WP.29的一份解釋性文檔《Explanations for the suggested amendments to GRVA-05-05-Rev.1》提出“當前的風險及緩解表還不完整,并可能是過時的,在發現新的漏洞和緩解措施時需要定期更新(CS Regulation中的附錄五相對于CS Recommendation已經做了更新),當漏洞和攻擊不斷發展時,一份固定內容的緩解措施列表是沒有意義的。”
由于網絡安全是伴隨著攻防技術的相互博弈迅速發展的,且不同行業、場景以及產品型號都會涉及到不同的網絡安全風險,因此UNECE WP.29 TFCS對于車輛網絡安全采取了“以風險為導向”結合“安全左移”的思路,即通過全面的風險評估,在車輛設計開發階段構建車輛網絡安全能力,并結合持續化監控與OTA(參考UNECE Software Update Management System)技術,應對層出不窮的網絡安全威脅和挑戰。
在《Overview of the recommendation cybersecurity》一文中,UNECE WP.29 TFCS表達了兩個重要觀點:
CS Recommendation為全球車輛網絡安全提供了一個基線;
要求車輛制造商提供一個合理的論據,說明為什么他們的車輛是網絡安全的(以及實現這一點的邏輯結構);從上述觀點不難看出,UNECE WP.29 TFCS并不是給出了一套嚴格的技術認證標準,而是客觀的基于網絡安全的實際情況,認為沒有絕對可靠的安全措施和要求,更不會有一套可以適用于各種車型的網絡安全技術要求。因此在提案和法規的正文中給出的是對車輛制造商的網絡安全能力、制度和流程要求,并在附錄中給出了一些可供參考的技術要求。
車輛制造商應在前期建立網絡安全體系(CSMS)時充分考慮上述思想,通過組織內外部的協作與推動,建立健全不同層級的體系制度規范與流程作業指導書,從汽車產品開發階段直至其生命周期,持續開展網絡安全風險管理活動,并通過各類工具與平臺保留在其過程所產生的各類過程文檔,作為規范化經營與法規遵從的有效支撐。
本系列的智能汽車網絡安全合規系列文章,由數位國內同時具備網絡安全管理體系與智能車輛技術知識的顧問,結合安永在同類型項目實踐經驗總結形成,旨在為中國的汽車行業出海或跨國合作、企業內部從事網絡安全工作的團隊,或為企業提供網絡安全服務的專業人士提供參考與幫助。智能汽車的網絡安全產品合規是一個跨界的新興領域,在企業數字化轉型與智能制造的戰略格局下應運而生。安永始終致力于助力企業構建美好的商業社會,幫助企業建立與完善網絡安全管理體系,為汽車行業的管理水平與產品質量帶來質的提升。
