飛象網訊 如今,汽車的智能化水平已經成為消費者選購時的重要參考因素。同時,智能網聯汽車攜帶了海量數據,帶來了合法合規難題,面臨著數據安全和網絡安全的挑戰。安全普遍被視為智能網聯汽車的剛性需求。
新思科技首席汽車安全策略師兼執行顧問Dennis Kengo Oka介紹到:“近年來,全球汽車行業引入了多項新標準和法規,包括ISO/SAE 21434網絡安全工程、面向網絡安全的汽車SPICE以及UN-R155網絡安全和網絡安全管理系統。以ISO/SAE 21434為例,如果要符合其標準,相關企業需要做到至少五點:分析現有的企業架構,包括政策、流程、文件等,以識別出尚未符合標準的實踐;查漏補缺,創建安全及合規流程、指南和模板;基于關鍵流程和活動創建符合ISO/SAE 21434 規定的框架;制定安全、合規等準則,提升有關團隊的安全意識,增強協作;使用試點產品團隊部署 ISO/SAE 21434 活動并收集反饋。”
Dennis Kengo Oka還將車企在滿足新的法律法規時可能會遇到的挑戰歸為六類,包括網絡安全政策、流程、角色和職責、網絡安全文化、管理系統以及安全審計。
網絡安全政策
ISO/SAE 21434 要求企業定義車輛網絡安全政策,在企業內推廣新政策,并定義如何向所有相關團隊強制執行新的車輛網絡安全政策。
為了應對執行安全政策方面的挑戰,需要注意的是,安全團隊不可能自行決定車輛網絡安全政策,而是需要管理層的支持。此外,一旦制定了網絡安全政策,就需要通過在企業內組織會議和培訓等,以推廣政策細則以及提升安全意識。對于企業來說,確保不同團隊了解政策的含義以及其如何具體影響他們的工作至關重要。
流程
企業通常已經制定了多個相似的流程, 它們的要求與ISO/SAE 21434 指定的部分活動類似。比如,功能安全相關流程、安全 SDLC(軟件開發生命周期)流程、Automotive SPICE 流程以及其它 IT 和企業安全流程。然后,企業需要考慮如何通過創建相關的新流程,以滿足ISO/SAE 21434的要求。
為了應對流程方面的挑戰,新思科技建議盡可能將多個相似的流程合并為一個單一的產品開發流程。更具體地說,建議整合或重復使用不同的系統、程序、指南和模板。比如,需求管理系統、持續改進流程、信息共享系統、風險管理系統、漏洞披露流程和代碼審查程序等。
角色和職責
執行 ISO/SAE 21434 要求的新活動需要增添多個新的安全角色,例如安全經理、安全架構師、安全工程師和安全測試員。但是,企業的安全資源通常有限。如果建立新的安全團隊,現有的產品團隊和新的安全團隊之間的關系可能不成熟且分工不明確。
應對角色和職責分配挑戰,新思科技建議:企業需要確保有適當的角色定義和明確的具體職責,并且相關的團隊成員都能發揮作用。此外,專門的安全團隊應該與不同的產品團隊溝通互動。應在專門的安全團隊和產品團隊之間建立協作關系。例如,安全團隊和產品團隊要定期開會,安全團隊可以指派相關成員在一定時間段內支持產品團隊。
網絡安全文化
企業中的安全意識和安全優先級通常較低。例如,產品團隊專注于新功能和特性的開發。因此,安全活動通常被認為是需要額外工作負載的活動,因此通常會降低優先級。
關于與網絡安全文化相關的挑戰,新思科技建議提高企業整體安全儀式和培養正確的安全態度。企業應該為所有相關人員組織會議,提升安全意識和推廣安全知識,并且應該策劃一個安全競賽方案,在不同的團隊中分配專門的安全人才。還需要注意的是,網絡安全對于汽車行業來說是一個相對較新的話題。因此,為了提高整體安全意識,汽車企業還可以聘請經驗豐富的安全專家。此外,汽車企業可以與專門從事網絡安全的第三方安全公司合作。這可以幫助工作人員獲取外部安全專業知識和文化,以幫助改善汽車企業整體的網絡安全文化。
管理系統
企業通常也已經創立了多個相似的管理系統。例如,功能安全管理系統、安全 SDLC 以及其它 IT 和企業安全流程。接下來的挑戰是能否建立另一套管理體系,以處理 ISO/SAE 21434 中定義的特定要求。
為了解決管理系統方面的挑戰,新思科技建議整合或重用現有系統來管理網絡安全。例如,企業可以將功能安全系統重用于變更管理、文檔管理、配置管理和需求管理,以支持管理與安全相關的主題和活動。
安全審計
執行網絡安全審計是 ISO/SAE 21434 中的一項新要求。企業過去可能對質量 (ISO 9001) 和功能安全 (ISO 26262) 進行過審計,但沒有對網絡安全進行審計,因此可能不確定由誰執行和負責審核以及如何執行審核。
制定安全審計計劃至關重要。在明確哪方將執行安全審計后,例如第三方審核服務合作伙伴,必須規劃好應準備和提供的材料類型和時間線。此外,建議企業參考 ISO 5112,它提供了 ISO/SAE 21434 審核所需工作的指南。
新思科技中國區軟件應用安全技術總監付紅勛補充道,中國在大力推動“車—能—路—云”融合發展,加快C-V2X、路側感知、邊緣計算等基礎設施建設,并制定系列標準和法規,通過標準和合規引導汽車產業電動化、智能化、網聯化發展。
付紅勛表示:“一輛現代智能網聯汽車可能擁有150個電子控制單元甚至更多,所包含的軟件代碼已接近甚至超過1億行。未來汽車的差異化優勢很大程度上也是取決于軟件的質量與安全。隨著新的網絡安全標準和法規的頒布,汽車企業需要簡化其安全架構和流程,以高效地滿足這些網絡安全標準和法規的要求。只有系好‘安全’帶,構建可信軟件,智能網聯汽車產業才能跑出‘加速度’。”
