【關你車事】連線汽車漏洞多 業界安全標準減風險
近年具備網絡連接能力嘅汽車大受歡迎,事關好多行駛資料都可以經專用 app 睇到,管理汽車維修更加方便,而且亦可以實時掌握汽車位置,無咁容易被偷。另外仲有一樣香港未用到嘅功能,就係無人駕駛嘞,難怪呢啲被稱為 connected car 嘅車會咁受車主歡迎。不過,網絡連線亦帶嚟更多安全隱憂,例如黑客有可能 hack 入系統解鎖汽車,甚至奪取汽車控制權,操控車主性命,隨時成為新一代勒索攻擊,所以真係唔係講玩㗎,難怪具備先進網絡連線功能嘅電動車品牌 Tesla,願意拎出大筆賞金,鼓勵 Ethical Hacker 鑽探系統可能存在嘅漏洞。不過,雖然美國、歐盟對 smart car 或 connected car 都有訂立安全標準,但內容始終唔夠全面,未能涵蓋所有具備網絡連線嘅汽車,所以亦未有統一嘅安全標準。
不過,由國際標準化組織(ISO)同埋國際汽車工程師學會(SAE)提出嘅 ISO-SAE 21434 安全標準,就可有助業界喺整個生產流程入面,提升自動駕駛嘅網絡安全性及減低風險,而且亦即將進行最後草案階段,到底有乜嘢需要注意呢?
汽車
由於車身具備超過100個控制元件,用嚟監管及控制車身各組件嘅運作,一旦被入侵,將對車主嘅人身安全帶來極大風險,所以安全標準要求汽車生產商必須設有完善嘅偵測系統以搜到潛在嘅漏洞,特別係針對汽車嘅資訊娛樂系統及遙距控制組件。
網絡
實施嚴格嘅安全政策,以監管汽車同雲端數據中心嘅網絡連線有無出現異動,以及早阻截黑客攻擊。特別係以往喺設計連線協議時都未曾考慮網絡安全性,所以必須要喺整個生產周期上盡早引入網絡安全。
後台
安全保護數據中心,以及喺雲端嘅應用服務或Container運作。
而最近網絡安全公司 Trend Micro 亦發表咗相關報告,亦建議應考慮採用VSOC(Vehicle Security Operation Center),從宏觀角度檢視整個生產流程及推出後嘅安全性,相信有助及早發現問題以及揪出有可疑嘅連線,咁就可以保障車主嘅安全咁話。
