如果汽車製造商想在明年繼續在歐洲銷售新車,他們不僅必須遵守更新後的排放標準,而且首次將網路安全放在首位。
歐盟最新的排放標準,即歐7排放標準,為所有汽油、柴油和電動車制定了新的和更新的法規,這是歐盟為實現零污染目標所做努力的一部分。該標準於2024年發布,截止日期正迅速接近;歐盟將從今年11月開始分階段實施歐7排放標準。
在一系列排放和廢氣排放限值標準、空氣品質目標和環境資料要求中,還包括一系列網路安全要求。隨著道路上電動車(其中一些是無人駕駛的)的日益增多,這些措施的重點在於防止篡改和保護敏感資料。
歐盟敦促製造商採取網路安全措施,「確保與排放和電池耐久性相關的資料的安全傳輸」。這包括在整個生命週期中獲得風險評估、威脅緩解和安全軟體開發的安全認證。
相關通報:PCI委員會表示支付系統面臨的威脅正在加速
在歐盟7排放標準中,監管機構警告稱,「篡改車輛以移除或停用部分污染控制系統是一個眾所周知的問題」。里程表篡改可能導致“里程數虛高”並“妨礙對車輛進行正確的在役控制”,這是2024年文件中表達的另一個擔憂。
專家一致認為,網路安全條款對於歐盟的車輛排放指令而言相當新穎,反映了瞬息萬變的形勢,無論是從新興技術還是威脅角度來看都是如此。
竄改的危害
歐盟7排放標準中加入網路安全條款可能與2015年的「柴油門」醜聞有關,當時大眾汽車被指控安裝軟體偽造排放和燃油效率測試結果。然而,更重要的是,NCC集團首席安全顧問Liz James博士表示,這標誌著歐洲排放標準持續改善。
以往的指令中並未明確規定網路安全要求。詹姆斯補充道,如今,對車輛整個生命週期的排放量進行精確測量這一目標本身也面臨網路威脅。這就引出了一個問題:監管機構如何收集資料並確保資料不會被竄改或修改?
歐盟需要一種更有效地追蹤和管理排放的方法,以減少污染,這意味著可靠的數據至關重要。詹姆斯解釋說,歐7標準建構瞭如何追究產業責任的框架。
相關閱讀:暗黑模式一步步破壞安全
她補充道,資料篡改一直是一個令人擔憂的問題,但現在歐7標準將其與聯合國關於網路安全管理體系的第555號條例聯繫起來。該條例旨在為車輛認證制定統一的規定。汽車製造商必須「證明」他們已進行徹底的風險和威脅分析,以降低漏洞風險並防止未經授權存取車輛或通訊系統。
詹姆斯補充說:“遵守這些排放標準意味著你必須明確證明這些威脅已得到控制。”
詹姆斯指出,如果監管機構想要減少排放,他們最大的潛在對手之一就是負責排放管理的汽車製造商本身。歸根究底,關鍵在於幫助監管機構確保資訊的準確性,因為眾多汽車公司都有動機操縱和修改數據。
「如果不同製造商的數據存在巨大差異,那麼現在就可以質疑,這是因為他們確實生產了更有效率的系統,還是另有隱情?」詹姆斯說。
如果威脅成真會怎樣?
如今,汽車系統日益互聯互通、技術先進,並且由軟體驅動,而軟體不可避免地存在漏洞。紐約大學機械與航空航天工程系教授尼基爾古普塔警告說,如果製造商不採取措施緩解這些漏洞,攻擊者就可以入侵汽車系統。
相關閱讀:消費者不願意在不重視安全的商店購物
駭客可以入侵GPS系統以獲取敏感的位置信息,如果系統中保存了財務信息,則可能存在數據和財務盜竊的風險。古普塔警告說,許多此類服務都採用訂閱模式。 「網路安全在這裡同樣至關重要,」他說。
古普塔解釋說,汽車製造平台也是一體化的,而整合環節正是人們最擔憂的問題。一款車型的軟體可能來自不同的供應商,整合過程並非總是順利。此外,一個有漏洞的軟體就可能影響整個供應鏈。
古普塔警告說,攻擊者可以操縱煞車系統,導致硬體故障。
“如何開發一個可信的系統?”他問道,“這就是關鍵所在。”
產業會抵制嗎?
雖然網路安全措施對歐盟排放法規而言是較新的內容,但專家們一致認為,實施起來並不難。尤其是在軟體網路安全要求已經存在的情況下。
古普塔重申,企業主要關注的是整合問題。不同的供應商會提供不同的組件,並為各自的軟體創建網路安全系統,但現在汽車公司必須將所有這些系統整合在一起。他指出,整合可能需要額外的時間來實施。
“唯一的問題是:我們能否按時完成?”古普塔說,“但網路安全是每個人都關心的問題,所以我認為行業不會抵制。”
製造商已經在工廠車間面臨巨大的網路威脅,因此網路安全是他們關注的重點。古普塔補充說,現在,自動化系統的網路安全也變得更加標準化了。
詹姆斯同意,歐7排放標準的某些方面對企業來說並不難遵守,因為法規並沒有“規定如何降低排放”,而是敦促企業“妥善管理風險”。然而,對於一些在歐7標準發布前沒有採取相關措施的製造商來說,安全要求可能會帶來挑戰。
詹姆斯表示,實施歐7標準需要一定的成熟度。重型機械和高排放車輛的製造商可能準備不足。
「他們已經在做一些事情了,只是還在弄清楚哪些是真正需要改進的,」詹姆斯說。 “實際上,我們不想阻止人們生產產品,而是激勵他們採取正確的行為,並鼓勵他們逐步成熟。”