信息安全在汽车领域意味着什么?
从上述关于信息安全与其他学科之间相互作用的讨论中,很明显,在汽车产品中实现信息安全存在一些特定的挑战,包括:
- 安全相关的影响
- 解决方案需要扩展至车辆平台并尊重其他属性,例如可用性
- 车辆寿命
- 车辆所有权的改变
- 更新车辆软件的时间和方式
- 维修权立法
- 汽车使用寿命终止
- 软件定义车辆
- 相关法规
可扩展性—安全解决方案需要扩展到整车应用程序,以满足相关领域需求,例如有限的资源(内存、处理能力)和某些应用程序的实时性。这与需要考虑更广泛的功能属性(如可用性或与安全相关的定时属性)密切相关。
车辆寿命——乘用车的典型设计寿命约为 10 年(粗略数量级)。虽然有更频繁的软件更新推出,但硬件在车辆的使用寿命内是基本固定的。因此,制造商正在提出更灵活的电气架构,使其通用硬件能够支持更广泛的软件定义功能,因此可以在车辆的生命周期内进行软件更新。
改变车辆所有权模式——在许多成熟的车辆市场中,大多数车辆(无论是直接购买还是通过租赁获取)都是由个人拥有,并且仅由他们使用。因此,许多车辆一生中有很大一部分处于非活动状态,每天只会使用1到2小时。当车辆使用时,车主并不特别关心共享个人数据。相比之下,已经提出了新的共享所有权模式,例如用户将以“按小时供电”计划租用车辆,因此,保护不同用户的个人数据的需求将变得很重要。在租车中可以看到一个例子是车载娱乐系统经常包含过去配对设备的所有的历史记录,这可能导致用户之间的数据泄露。
更新车辆软件的时间和方式——虽然车辆服务中软件的更新机制已经存在多年,但这些机制经常由经销商在维护操作期间执行。但是,这些并不能保证特定车辆的高覆盖率,因为它们依然依赖于用户出示车辆进行维护。即使是“强制”行动,例如召回,也不是100%有效。相反,许多读者会熟悉台式计算机和类似设备中的频繁的软件更新,这些设备通常具有与安全相关的更改。一些汽车制造商已经开始使用OTA方式进行软件更新,通常用于为车辆部署新功能,但与传统更新机制相比,这些更新在更快速的时间范围内提供与安全相关的更新
也很有吸引力。
软件更新带来了许多与信息安全和上述更广泛问题直接相关的挑战。虽然软件更新为执行安全更新提供了高效和有效的机制,但它也需要确保只有授权人员才能进行更新;否则,更新机制本身可能会成为漏洞,存在潜在的可用性考虑。例如,某些与安全相关的功能不应在使用车辆时更新;但是,如果此类更新要求车辆静止不动,是否可以保证在用户再次需要车辆之前完成更新?
“软件定义汽车”是最近开始流行的一个术语。一些制造商开始部署架构,更加强调灵活的硬件平台,该平台可以通过部署软件甚至通过“App Store”模型来支持各种不同应用程序,其中可以在售后市场中提供额外的第三方功能。
立法——最近,联合国欧洲经济委员会(UNECE)世界论坛开展了协调车辆法规的工作,以制定信息安全和软件更新法规。这些规定于2021年1月生效。信息安全监管的动机应该是不言而喻的,同时监管机构对车辆的这一方面特别感兴趣(而到目前为止,对功能安全采取更“不干涉”的监管态度已经很明显)。软件更新法规的动机与上面讨论的要点有关(希望更新更快,但要考虑平衡这一点与安全性)。这两项法规的一个重要方面是,它们要求对制造商使用的管理系统进行第三方审核,以从信息安全和软件更新的角度解决产品开发中的工程严谨性。
另一个有趣的监管方面涉及消费者选择立法,例如美国和其他地方的“维修权”。从本质上讲,此类立法旨在允许车主选择维修商,而不是被要求使用制造商自己的服务网络。反过来,这要求制造商在与自己的代理商相同的基础上向第三方维修商提供使用维修信息和工具。以这种方式提供的设备、工具和信息可能会被非法使用。例如,允许重新编程访问和使用控制的服务工具,例如无钥匙进入系统,仍然需要受到安全控制。
另一个相关的方面是“数字千年版权法”(DMCA)以及“越狱”产品并对其进行安全研究的权利。在2015年对该法案的修订中,成功游说立法者批准与道路车辆软件相关的例外情况。
一项具体豁免如下“包含在机动陆地车辆(如个人汽车、商用机动车辆或农业机械化车辆)中并控制其功能的计算机程序,但主要为控制此类车辆的远程信息处理或娱乐系统而设计的计算机程序除外,此时车辆的授权车主必须采取规避措施以允许对车辆功能进行诊断、修理或合法修改;这种规避行为不构成违反适用法律的行为……”
这是一个有趣的案例研究,因为豁免是为了允许车主对车辆进行维护或改装(前提是这不违反法律,例如排放立法)。但是,此类操作可能会产生不可预见的结果,但这是意外操作的结果,而不是恶意操作的结果。通常,“信息安全”问题被视为与故意的恶意行为有关,但也有必要考虑此类用例的不想要和不可预见的结果。
DMCA还包含与“善意”安全研究相关的豁免,由于意外行为,这再次可能导致不可预见的结果。
寿命周期结束 - 当车辆达到使用寿命(包括更换车主)时,确保删除个人数据非常重要。需要删除个人数据的用例包括更换组件、所有权变更、共享使用车辆(包括租赁汽车)以及在车辆使用寿命结束时对其进行分解、拆卸和处置。
上述讨论展示了在解决和实现汽车网络安全时需要考虑的一些具体挑战。稍后我们将解释如何通过流程和保证活动解决这些问题。