汽车行业的安全文化转型

作者:Kaivan Karimi，微软工业解决方案制造和移动OT安全实践主管

2023年10月31日

类别
制造业和流动性

标签
自动化

在过去的几年里，汽车行业经历了一场复兴，汽车变得由软件驱动，在每一款新车型上都添加了新的功能和“应用程序”。就像从大型计算机到复杂的云连接图形处理单元驱动的台式机的演变一样，汽车行业正在从传统的以硬件为中心的汽车发展到软件驱动的车轮计算机。关于未来汽车的功能，我们的行业目前关注的是两条平行的轨道:

那些处理引擎盖下移动未来汽车的“机器人”的人。
所有与用户相关的功能、应用程序和与机舱相关的体验。

这两类汽车技术发展的基础都是安全可靠的运输。当我说安全时，我指的是ISO 26262。当我说安全时，我指的是新的(截至过去两到三年)网络安全法规，如ISO/SAE 21434,1 ISO/DIS 24089,2和联合国欧洲经济委员会(UNECE) WP.293，重点是在其整个使用寿命内保持这些安全。是的，展望未来，汽车需要对其网络安全的生命周期进行管理，持续15到20年。

微软安全

帮助保护人员和数据免受网络威胁，让您安心

探索安全

Forward facing view of two men working on a Microsoft Surface Studio with a larger blurred screen/display behind them.

汽车行业独特的复杂性

考虑到这些汽车和汽车工业的复杂性，这是一个非常艰巨的任务。以下是一些挑战:

复杂的供应链:全球有数千家供应商参与汽车的制造和生产。
代码量:汽车现在是世界上最重要的威胁面，一辆典型的中型汽车在数千个文件中包含来自数百家供应商的超过1.5亿行代码，其中大部分是二进制格式。
产品生命周期:汽车的使用寿命很长，在积极使用的情况下为15至20年，而消费产品的使用寿命为2至3年。
法规:管理安全生命周期的功能安全和新的网络安全要求。

随着汽车的互联程度越来越高，网络攻击的风险也在增加。

功能安全和网络安全

什么是网络安全?

了解更多

功能安全是一门涉及设计和制造系统以减少对人的伤害风险的学科。网络安全涉及保护信息和系统免受未经授权的访问、使用、披露、中断、修改或破坏。汽车行业需要将功能安全和网络安全结合起来，以确保驾驶员、乘客和其他道路使用者的安全不受影响。

将网络安全纳入汽车的设计和制造过程至关重要。虽然联网汽车为汽车行业和乘客提供了大量新的机会，但这种连接性和可见性是一把双刃剑，因为它也使它们容易受到恶意行为者的攻击，试图获取数据，甚至远程控制车辆本身的功能。一辆重达3000多磅的汽车被一个意想不到的用户直接控制的后果是最令人担忧的。再次强调，安全是重点。

标准和法规

汽车行业有几个标准和法规来解决功能安全和网络安全问题。由国际标准化组织(ISO)制定的其中一个标准是ISO 26262，它概述了道路车辆的安全要求，旨在减少汽车应用中机器操作可能影响乘客寿命的危险概率。

ISO/SAE 21434车辆网络安全工程标准专注于整个汽车产品生命周期，并集成了安全和安保措施，确保车辆在设计、制造和部署时都考虑到严格的安全要求。它还定义了在汽车产品开发的不同阶段所涉及的各个小组的责任。ISO/SAE 21434标准的最终版本还包括威胁分析和风险评估(TARA)，重点关注车辆运行中可能出现的威胁场景，以及相关的姿态评分因素。它还定义了与汽车系统工程v模型一致的安全“左移”方面，以同时满足产品功能和网络安全需求。

ISO/DIS 24089是另一个标准，它提供了以一致和系统的方式管理软件更新的指导方针。作为WP.29标准的一部分，联合国欧洲经济委员会(UNECE)制定了一项新的法规R156，该法规规范了软件更新管理系统。ISO 24089提供了如何系统地管理符合UNECE R156的软件更新的指导方针。联合国欧洲经济委员会WP.29还制定了法规R155，重点关注道路车辆的网络安全生命周期管理。

确保未来汽车的安全

确保未来汽车的安全涉及几个技术细节，例如保护车辆的电子架构，管理软件生命周期，以及使用软件更新管理网络安全生命周期。汽车的电子架构正在从域控制器转向区域架构，着眼于最终的云连接中央计算机。通过软件更新来管理软件的生命周期和网络安全，确保汽车保持安全，免受任何新出现的威胁。这需要专门的车辆安全操作中心来管理这一过程，并尽可能地使过程自动化。

欧洲经委会WP.29条例规定了网络安全的四个具体领域:

管理车辆网络风险
设计确保车辆安全
检测和响应安全事件
提供安全可靠的软件更新

开发、生产和后期制作三个生命周期阶段，后期制作包括监视、检测和响应网络攻击。汽车需要安全制造，并且在整个制造过程中都需要保持这种安全状态。最后，一旦他们在停车场的第一天出门，他们需要在那辆车的生命周期内保持安全。这意味着汽车的设计、开发、制造和运营的每一个方面都将受到影响，需要改变。截至2021年1月，WP.29适用于乘用车，面包车，卡车，公共汽车和其他轻型车辆，从2021年1月起适用于该规定。

重大事件:在欧盟(EU)， WP.29法规R155和R156将从2022年7月起强制适用于所有新车型，并将从2024年7月起强制适用于所有生产的新车。这意味着从2024年7月开始，所有汽车制造商都需要管理他们制造和运营的汽车的生命周期(15到20年)。

合规

WP.29覆盖54个国家，包括欧盟、英国、日本和韩国。这些国家的WP.29法规在法律上是可执行的，汽车制造商要获得所需的型式认证并在上述市场销售汽车，就需要证明其符合规定。这意味着，即使是在WP.29未涵盖的国家的汽车原始设备制造商，如果他们想在上述国家销售汽车，也会受到影响。与现有的ISO 26262认证流程一样，型式认证在整个欧盟范围内提供了相互的合规性认可，而无需进一步的测试。可获得TUV南德意志集团等技术服务审核公司的批准。汽车的开发、制造和最终运营都将受到影响，需要改变。

攻击表面

汽车已经成为世界上最大、最复杂的威胁面，在几台电脑上运行着数百万行代码，有许多攻击点和策略可供恶意行为者利用。在每辆车的基础上，这比世界上大多数IT系统要复杂得多。如今，大多数行业新闻都充斥着IT黑客和对IT系统的利用。需要明确的是，IT行业已经处理安全问题几十年了，而汽车直到最近才联网，因此汽车安全意味着完全不同的东西。因此，一个没有长期处理网络安全问题的部门现在应该保护世界上最复杂、最复杂的实体和威胁表面，每辆车都是一个关键任务系统，机器的操作会影响乘客的生活。

在IT中，超过80%的事件是由公司员工引起的，主要是因为不充分的安全卫生(例如，缺乏严格的安全文化)为了满足汽车开发、生产和后期生产三个生命周期阶段的安全需求，每个汽车制造公司都需要一个整体的安全文化转型方法。

文化转型

文化转型始于对每个人进行安全教育，无论其角色或职位如何。这意味着从软件和硬件设计师和开发人员到高管层的所有人。

微软安全文档

共享一种公共语言来讨论安全性是最好的起点。这意味着教育每个人了解所涉及的风险、彼此和整个团队的期望，并使用安全最佳实践，而不考虑任务，在许多情况下，不考虑与“安全第一”文化相关的成本。当团队接受安全方面的培训时，他们就被授权做出更好的决策，从而产生积极的安全结果。

构建安全第一的文化使知识与行为保持一致，例如，开发人员在编写一行代码之前考虑安全问题，高管层决策者考虑安全风险对底线的影响，并将安全方面的适当投资视为业务关键。

不幸的是，安全行业目前面临着需要更多合格资源的挑战，因此吸引和留住来自不同背景的最佳人才并培养安全领导者比以往任何时候都更加重要。

向左转，意味着在产品开发生命周期中尽早嵌入安全性，并尽可能多地利用人工智能和机器学习实现自动化，这也有助于开发人员专注于解决高价值问题。

增强团队的网络安全意识

探索资源

汽车制造商可以通过关注人员和团队中“安全第一”的文化来改善他们的安全状况，然后使用最好的安全工具，关注最小的差距和重叠，为安全操作建立坚实的基础。

确保未来汽车安全的唯一方法是采取全面的文化转型方法，将“安全第一”的心态制度化。

从微软开始你的安全转型

在微软，与我们的合作伙伴一起，我们策划了广泛的产品和服务组合，为汽车和制造业在开发、生产和后期生产三个生命周期阶段以及所有相关的认证过程提供全面支持。在设计和开发阶段，我们与合作伙伴一起提供一套全面的工具和服务，重点关注汽车市场的合规性以及管理网络安全的生命周期。我们还可以帮助客户进行安全文化转型。