通過無線升級、資訊娛樂以及行動設備和雲端服務的整合,互聯汽車提供了安全、自動駕駛和駕駛舒適度的終極體驗。而車輛結構的各個方面必須設計強大的網路安全措施,保護關鍵功能和後端網路免受網路攻擊。因應維護汽車安全的重要性,恩智浦不論是在政策和流程方面都已通過認證,符合新的ISO/SAE 21434汽車安全標準。
網路安全措施必然是汽車設計各個方面的核心。標準為參與生產當今車輛的眾多汽車供應商定義了必要的標準。明確的政策和程式必須貫穿整個供應鏈,以識別和堵塞可能存在的任何漏洞。
| 圖1 : 互聯汽車可以支援新服務和提高道路安全,帶來新體驗,但卻也出現新的網路安全挑戰。 |
|
合作實現標準化
創建汽車網路安全標準的工作始於2016年,當時汽車工程學會(SAE)和國際標準組織(ISO)發起了一項聯合倡議,旨在創建汽車網路安全行業標準。這兩個組織分別致力於汽車功能安全和資訊安全相關標準;ISO 26262是著名的汽車功能安全標準,SAE在創建《網路物理系統網路安全指南》J3061時,借用了ISO 26262的架構。這兩個組織最終聯手,並與汽車製造商、零組件和系統供應商以及網路安全供應商合作,其中包括來自16個國家超過82家公司的100多名專家。
新的ISO/SAE 21434標準就是此次合作的成果,此標準定義了實現強大的汽車網路安全的精確程式和組織要求。此標準並詳細說明了在車輛整個生命週期內對潛在網路威脅進行威脅分析和風險評估(TARA)所需的步驟。此外,組織還需要監控網路安全事件,並在事件發生時進行管理。
根據ISO/SAE 21434,從概念到製造再到淘汰,互聯汽車的所有電子系統在每個階段都必須考慮安全性,系統的設計方式必須能夠提供強大的保護,以抵禦不斷演變的威脅。該標準定義的要求必須滲透到公司的DNA中,這些組織必須實施網路安全管理系統(CSMS),包括網路安全風險管理。
| 圖2 : 根據ISO/SAE 21434,從概念到製造再到淘汰,互聯汽車的所有電子系統在每個階段都必須考慮安全性。(source:NXP) |
|
網路安全法規
新的汽車網路安全法規UN R155進一步邁向增強網路安全。2020年,聯合國歐洲經濟委員會(UNECE)WP.29(也被稱為世界車輛法規協調論壇)通過了該法規。根據UN R155,汽車製造商必須擁有經過認證的網路安全管理系統(CSMS),才能獲得車型批準並銷售新車型。這項立法將於2022年7月起在全世界範圍內實施。
支援原始設備製造商
原始設備製造商(OEM)需要恩智浦等供應商的支持,因為該法規要求有證據證明,供應商相關風險需按其認證的CSMS進行識別和管理。ISO/SAE 21434標準支援在整個供應鏈的組織中實施R155要求。恩智浦憑藉安全專業知識,完善並擴展了現有政策和流程,可滿足ISO/SAE 21434新標準的要求。獨立協力廠商最近通過審核和認證確認了這一合規性。這有助於OEM滿足R155法規的要求。
對傳統零組件的影響
需要強調的是,該標準並不意味著原始設備製造商應隨意拆開現有系統並移除傳統零組件,他們必須分析汽車系統,並確定其部件是否符合相關安全標準。對於新的、符合要求的元件,這種分析將更容易進行,現有的現成元件將需要進一步評估其適用性,並確定及解決任何潛在的安全缺陷。考慮到一級和二級供應商在新車中使用的電子元件數量過多,此責任將由雙方共同承擔,其影響將涵蓋整個供應鏈。
未來的汽車產品必須符合標準,製造商必須提供證據支援。恩智浦和其他供應商必須與一級供應商和OEM客戶密切合作,?明他們進行風險評估和合規驗證。
展望未來,消費者和汽車製造商將受益於標準的實施和法規的遵守。消費者可以享受一致、無縫的技術,增強安全和使用者體驗,並對網路攻擊和不斷演變的威脅提供強大的保護。
安全帶來新機會
隨著在日常生活中技術的各個方面變得更加互聯,網路威脅當前,我們必須得到充分保護。我們需要強有力的網路安全措施,防止攻擊者利用互聯性在我們的設備和系統中游走而不被發現和查到。以產品和成熟的安全性群組織來?明汽車製造商抵禦網路攻擊,保護汽車網路安全,從而讓連接和自動化成為企業和社會的機遇,而不是對所有人的威脅!
(本文作者Timo van Roermund為恩智浦汽車安全團隊領導人)
