随着互联移动成为现实,网络安全威胁对自动驾驶和软件定义移动带来的危险也随之而来。黑客攻击、恶意软件和未经授权的访问所带来的威胁需要软件产品和服务提供商时刻保持警惕。与乘用车一样,相当一部分非公路车辆(OHV)也将实现联网,其中许多车辆已经实现联网。虽然非公路车辆联网可以带来很多好处,但也使车辆容易受到与公路私家车和商用车辆相同的网络安全攻击。
黑客与威胁
无线连接为车辆攻击提供了机会。连接接口是拒绝服务尝试、远程黑客攻击或通过连接接口注入恶意软件的潜在攻击途径。这些威胁可能会影响系统功能、道路使用安全或符合法律数据保护限制所需的隐私属性数据。
虽然 OTA 软件更新为黑客提供了一个潜在的切入点,但更重要的是,它们是应对漏洞和威胁的重要对策。因此,由于连接性带来的诸多好处,绝大多数非公路用车都将实现连接。
与公路乘用车或商用车的自动驾驶相比,非公路车辆的自动驾驶已经更加先进,因为它们所处的运行环境通常是一个更容易、更可控的空间。例如,自动驾驶拖拉机可以服务于一个由 GPS 坐标限定的明确空间,如需要耕种的田地。由于参与者较少,交通流量较小,不可预见或意想不到的障碍物和环境变化也较少,因此操作环境并不复杂。
尽管如此,这些车辆通常还是在公众可进入的区域内作业。与任何其他车辆一样,网络安全问题是真实存在的,而且可能极其危险,因为它们会影响公路和非公路用户的安全。
网络安全立法
越野车原始设备制造商对网络安全的态度与传统汽车制造商不同。在欧洲,原始设备制造商不需要遵守联合国(UN)的网络安全法规,而是需要遵守《网络恢复法案》(CRA)或其他适用的地方法规。
在欧盟(EU),CRA 建立了一个法律框架,对包含数字元素的硬件和软件产品提出了网络安全要求,包括公路和非公路商用车辆,但不包括联合国 R155 法规所涵盖的车辆。2023 年 12 月,欧盟原则上同意了 CRA,并将于 2024 年正式批准,从 2025 年底开始分阶段生效。与此同时,美国于 2023 年推出了网络信任标识(Cyber Trust Mark),这是一项针对联网设备的自愿性网络安全认证和标签计划。
根本区别
在网络安全方面,公路车辆与非公路车辆的一个关键区别在于发生安全事件时可能受到影响的车辆数量。非公路车辆的产量通常较小。
在一个地区,一种型号的公路车辆的车队规模可以轻松超过 15 万辆,而典型的拖拉机车队规模,例如,每个地区可能在 100 到 10,000 辆之间。因此,公路车辆的安全漏洞可能比非公路车辆影响更多的车辆。另一个区别可能是攻击的动机和执行。针对公路车辆的攻击通常针对整个车队,即潜在的大量车辆,以威胁或勒索单个车辆的用户或原始设备制造商。而农用机械和拖拉机则昂贵得多,因此是盗窃(相对于勒索或威胁)的热门目标。
然而,要建立安全的系统,非公路车辆领域必须考虑公路车辆和非公路车辆通用的基本安全原则和最佳实践。在车辆的整个生命周期内保持安全至关重要。对于联网车辆,安全措施无法保证完全防止攻击,必须承认对车辆的攻击是可能发生的。网络安全不仅要通过加固系统,还要通过检测正在发生的攻击或威胁来解决车辆保护问题。技术进步或新的公开漏洞也会带来新的威胁。因此,原始设备制造商和运营商必须持续监控行业、车辆系统及其环境中发生的事件,并进行相应的分析。此外,他们还必须能够对事件或新威胁做出反应。通常情况下,这需要禁用易受攻击的功能或接口,采用新的或修改现有的安全策略,部署软件更新或补丁,或撤销和更新证书。
分层方法
要实现端到端安全,必须对车辆架构采取分层方法。车辆通过后端、云和基础设施进行连接和管理。因此,安全还需要考虑这些基础设施,其中包括具有密钥管理、车队管理和生命周期管理功能的车辆运营中心。联网车辆通过外部接口进行通信,以防止外部通信渠道受到攻击,可采用防火墙、入侵检测系统或安全通信渠道等应对措施。对敏感数据的保护必须从头到尾考虑,因此此类数据绝不能通过外部接口以纯文本形式传输。
下一层需要考虑的是车载网络。对其进行分段可以将安全关键功能与更容易受到外部攻击的不太重要的子网络隔离开来。车载通信可通过使用安全协议和入侵检测系统监控其网络通信来加以保护。
最后一个需要考虑的安全层是保护电子控制单元。安全对策包括安全启动、安全软件更新、安全诊断认证、不同分区隔离、数据保护和加密以及操作系统加固等,这些措施完善了整套车辆安全概念。
归根结底,所有联网的非公路车辆都很容易受到网络安全攻击。虽然网络安全最佳实践的基本原则适用于这两类车辆,但公路和非公路车辆在安全风险、攻击的潜在影响和监管方面仍存在显著差异。只有解决车辆系统的整个生命周期并考虑系统架构的每一层,才有可能实现安全车辆的目标。
