在智慧駕駛汽車即將普及之際,大量敏感資料將隨時進行交換與傳輸,資訊安全將成為車輛整體安全的核心之一。
車載資安事故報導案例
企業組織若希望在數位時代仍保有競爭力,其中之關鍵要素即為重視資訊安全,此觀點在汽車產業及供應鏈尤其重要。近期由於企業組織的疏忽,或是駭客手法持續演進,造成車載資安事故頻傳,導致企業組織的有形與無形損失。如 :
- 德國福斯汽車集團 (Volkswagen) 2021年6月通知客戶,因合作的外包商發生長達近2年的資料安全疏忽,導致330萬北美車主包括姓名、電子郵件,以及生日等資料外洩,原因是外包廠商不慎將未做好安全防護的資料庫放在網路上所致。
- 設立於以色列特拉維夫的資安廠商 KELA 近來 (2021/06) 發現,有多達三十八萬名英國 BMW 車主,其資料被某個名為 Kelvin Security Team 的駭客團體置於暗網上求售。這批遭駭的BMW 車主資料,受害者人數多達 384,319名;資料欄位則包括車主的姓氏、名字、Email 地址、住家地址、車輛序號、經銷商名稱等多種個人可辨識資訊。駭客宣稱這批資料是來自一家服務多家車廠的電話行銷公司。
- 年僅19歲的德國少年大衛.可倫坡(David Colombo)2022/01在資安領域成為了全球焦點,因為他聲稱發現的資安漏洞,讓他成功遠端駭進全球13個國家,超過25輛的特斯拉電動車。雖然可倫坡指出,問題不是出在特斯拉電動車身上,而是受到許多車主使用的一款用於收集及分析車輛行駛數據的開源軟體,但特斯拉資安人員還是在該消息爆出後主動聯繫了他。
汽車產業資安風險面向
根據UPSTREAM 2021 Auto Cybersecurity Report的說明,可以看到以下產業風險 :
- 雖然 COVID-19 減緩了許多汽車企業營運成長,但網路攻擊卻呈上升趨勢。在疫情流行期間,原始設備製造商和汽車供應商成為了主要攻擊目標,部份網路攻擊甚至中斷了主要的原始設備製造商的運作。
- 大多數汽車業駭客攻擊,皆出自於惡意企圖。2020年55% 的駭客攻擊是來由於黑帽駭客所為,目的是破壞業務運作、竊取財產和勒索贖金。
- 過去十年中最常見的三種攻擊目標是伺服器、無鑰匙進入系統和行動APP,2020年遭鎖定攻擊之伺服器數量增加73%。
- 與汽車相關的 CVE 的數量正在增長,迄今為止,已有 110 個與汽車行業相關的 CVE(常見漏洞和曝露),2020年為 33 個,而 2019年為 24 個。
- 資訊外洩和車輛盜竊是 2020 年網路攻擊的主要影響之一,36% 的事件涉及資訊和隱私外洩,28% 的事件涉及車輛盜竊或闖入。
汽車產業如何證明符合安全標準?
雖說遵循並實施 ISO/IEC 27001(簡稱“ISMS”)國際標準,將有助於建立先進的防護體系,從而確保以安全的方式來處理保密資訊。然而,並無法滿足汽車產業的特殊需求。因此,汽車產業內部便成立了很多協會,它們的主要目標是,針對自身特殊需求,精準制定並優化相關標準。“德國汽車工業協會(VDA)”便是其中之一。當時,汽車產業的數位成員建立了資訊安全工作小組,並最終一致認為,由於彼此間需求相似,因而有必要對現有的資訊安全管理標準進行量身定做。
在各方的共同努力下,一份調查問卷應運而生,其中涵蓋了汽車產業內普遍接受的資訊安全要求,而該問卷便是“VDA ISA(德國汽車工業協會資訊安全評鑑)”。但是,這些合作夥伴採用的標準依然各不相同,對於如何解釋標準也是說法不一。而供應商需要證明的事情基本上是一樣的,只是途徑有別而已。負責 ISA 維護的 VDA 工作小組中的 OEM(原始設備製造商)與供應商在聽取各家供應商的意見後,針對“如何證明符合安全標準?”這個問題,為汽車產業的廣大供應商及相關企業給出了如下答案。