《2023全球汽車行業網絡安全報告》的五大關鍵發現

史敏才

近年來，隨著數字化、智能化和網絡化技術的日趨成型，汽車行業的新一輪產業變革已經到來。然而，這種變革也為網絡安全風險打開了大門。近日，研究機構Upstream發布了《2023年全球汽車行業網絡安全報告》，報告數據顯示：在過去5年中，全球汽車行業因為網絡化攻擊造成的損失超過5 000億美元，而近70 %的汽車安全威脅都是由遠距離的網絡攻擊行為引發。研究人員表示：“汽車制造企業需要重新思考未來保障車輛安全的策略，從整體車聯網平臺安全的角度尋找解決方案，而不是傳統以車輛為中心的安全模型。”

在本次報告中，研究人員探討了當前汽車行業面臨的主要安全威脅態勢，以及如何有效應對這些威脅挑戰的方法和建議。以下是本次報告研究中的五大關鍵發現。

新的攻擊面大量出現

隨著汽車行業變得更加智能化和數字化，汽車企業因此拓展出更多的商業服務模式，這給了網絡攻擊者更多的攻擊面和攻擊載體。報告數據顯示，2022年網絡攻擊者最常使用的載體分別是遠程信息處理和應用服務（35 %）、遠程無鑰匙進入系統（18 %）、電子控制單元（14 %）、車載智能應用API（12 %）、車載信息娛樂系統（8 %）、車載移動應用程序（6 %）和電動汽車充電系統及設施（4 %）。

研究人員提醒，一些新興攻擊載體的惡意利用趨勢已經形成，相關企業和消費者需要給予足夠的重視，具體包括：

1.車輛訂閱服務：一些訂閱式的車輛服務功能方便了消費者的日常使用，但這些服務通常都會要求司機提供個人身份信息（PII）以實名驗證，這無疑為身份竊取和假冒相關的攻擊敞開了大門；

2.第三方汽車移動應用程序：這些應用程序旨在增強駕駛員的體驗，但是同樣需要駕駛員的PII和車輛行駛數據等信息，這對非法攻擊者會很有吸引力；

3.電動汽車充電網絡及設備：電動汽車需要定期進行電池充電，這個過程增加了被攻擊的可能性，也擴大了汽車行業的風險暴露面。所有電動汽車利益相關者都應該從保障充電網絡安全的角度做更多的事情；

4.新的車輛管理和保險模式：隨著智能汽車中大量遙測工具的使用，促進了企業管理和相關保險服務的發展，這些遙測數據涉及司機的駕駛行為和使用情況等，一旦相關的監控設備被侵入，其后果將非常嚴重；

5.智能移動API：在2022年，汽車API攻擊的數量增加了380 %，占事件總數的12 %。隨著這項技術的使用不斷增加，與API相關的風險也在增加。

汽車網絡攻擊的負面影響巨大

一旦成為汽車網絡攻擊活動的受害者，汽車制造企業會在多個方面受到嚴重的負面影響。本次報告數據顯示，汽車行業的網絡攻擊活動，對受害企業造成的危害主要包括：數據/隱私泄露、服務/業務中斷、車輛失竊、非法控制車輛、實施欺詐、地址跟蹤和政策違規等。

由于車輛銷售和服務的需要，汽車制造商可以獲取到大量的個人信息和車輛使用數據，以及與汽車服務業務相關的其他敏感信息。一旦丟失這些數據，企業將面臨災難性的法律違規后果，會受到嚴厲的監管處罰。

同時，汽車制造企業從網絡攻擊中恢復的成本極其昂貴，不僅需要修補被攻擊的區域，還要進行徹底的安全風險審計，以確保沒有其他類似的安全漏洞，這也可能會損害客戶的對企業信任。

目前，無鑰匙啟動汽車是一項非常便利的功能，但也讓盜竊變得越來越普遍，這讓供應商陷入了亟需補救的尷尬境地。此外，很多智能汽車在行駛中，一旦被攻擊者非法操控，將會造成嚴重的安全事故，甚至危害到駕駛者的人身安全。

汽車網絡攻擊手法復雜化

隨著汽車行業的不斷變化發展，非法攻擊者的攻擊手法也在進化。研究表明，針對汽車行業的網絡攻擊正變得更加精細，以獲得更好的攻擊效果。報告數據顯示，幾乎所有的汽車攻擊威脅（97 %）都是遠程進行的，而有70 %的遠程攻擊是在遠距離實施的。攻擊者不需要在車輛附近，只要能夠連接到車輛的網絡系統，就可以發起攻擊。

此外，攻擊者也在不斷改進他們的攻擊方法。例如，當犯罪分子獲得某款汽車關鍵的數字基礎設施信息，就會以此向汽車制造商勒索高額贖金，同時還可能非法出售隱私數據。在此過程中，很有可能會出現影響整個供應鏈的大規模數據泄露、拒絕服務攻擊和生產中斷。這一問題在2022年已經表現的非常突出，隨著汽車數字化程度的進一步提升，Upstream預計針對汽車行業的攻擊在未來幾年將變得更加普遍。

保障汽車安全是每個人的責任

如今，汽車行業的網絡攻擊不僅僅局限于汽車生產商，供應鏈中的每個組件和環節都可能受到威脅。這些攻擊不只是為了經濟利益，還會危及公共安全和關鍵信息基礎設施安全。因此，從智能汽車基礎設施制造商到智能汽車服務提供商，以及所有汽車制造領域的利益相關者，都需要采取行動來保護汽車使用的安全和消費者利益。只有這樣，汽車行業才能繼續快速且安全地進行數字化轉型。

雖然汽車行業在網絡安全方面面臨巨大的挑戰，但也有各種積極的措施正在制定并實施，以提升車輛系統的安全彈性。該報告的研究人員指出，在2023年，汽車行業生態系統內的安全合作將會增加，從而加速整個行業的整體保護。

企業要跟上監管政策的調整和變化

目前，汽車行業的監管機構已經意識到，汽車、基礎設施和消費者隱私面臨的網絡安全風險。他們正在開始制定新的法規，以應對這些風險。在此背景下，汽車行業網絡安全保護的范圍和措施將會不斷提升。一些新的行業標準正在陸續頒布并實施，這些新安全標準更加強調了在汽車全生命周期的每個階段，實施高標準網絡安全實踐的重要性。除了在行業內實施更好的網絡安全實踐外，這些新法規和指南還提供了統一的術語、方法、目標和范圍，以使整個汽車行業在網絡安全防護目標上達成一致。