11月11-13日,“2020世界智能网联汽车大会(WICV2020)”在北京隆重召开,本次大会由北京市人民政府、工业和信息化部、公安部、交通运输部、中国科学技术协会共同主办。旨在打造全球智能网联汽车领域内规模最大、级别最高、影响力最大的世界级平台,持续引领全球汽车产业发展趋势,全面开启智能网联汽车产业发展的新征程。下面是安永全球汽车领域信息安全主管合伙人Matthias Bandemer在本次论坛上的发言:
安永全球汽车领域信息安全主管合伙人 Matthias Bandemer
女士们,先生们,大家下午好,我现在位于慕尼黑的EY网站空间,感谢主办方邀请我参加“世界智能网联汽车大会”,很高兴能有与大家沟通交流的契机。我是EY公司的Matthias Bandemer,在网络安全咨询方面有25年的经验,现在在EMEIA负责汽车网络安全。我目前在慕尼黑工作 曾与全球大型汽车公司合作,以解决复杂的信息安全问题。
EY在网络安全和汽车行业的业务遍布全球,我们有7000多位优秀的信息安全专家,为全球150多个国家/地区提供着服务。我们帮助客户建立和改善其信息安全、IT安全、供应链网络安全、车辆IT安全、制造厂和车间安全,以及处理客户数据。我们与客户一起应对不断变化的网络安全威胁,并增强关键基础架构抵御网络攻击的能力。
汽车将成为超级互联生态系统的一部分,车辆将不仅连接到原始设备制造商的后端和云端
自动驾驶汽车还将与电力供应商、汽车共享公司、保险公司,当然还有客户建立联系,这都将创建大量数据。5G是实现超级连接和完全云化智能网络的推动力,过去是4G网络 每次只有一个无线电连接,现在使用5G,低延迟,可以同时进行多个连接。
在4G网络中,机器流量和最终用户流量不是一个网络。现在有了5G 可以将网络切成不同的部分,以满足不同的需求。4G是迈向云的第一步,5G完全云化的应用可以赋能联网汽车、自动驾驶和为自动驾驶终端用户提供联网驾驶体验。未来的一个巨大趋势是数字化转型。数字化转型将全部基于新技术,如人工智能、云计算、互联、物联网或量子计算等。这些新技术都面临着网络威胁,因此,也就是说AI模型可能会中毒。
我们最近也看到了由AI驱动的,复杂的网络攻击,物联网设备也易受攻击。在大多数情况下,设备被攻击后无法在复原和修补。我们在看到5G兴起的同时,也看到了很多互联机会和大量的潜在威胁。将来量子计算将代替现在的加密,因此,数据量将大到管理不过来,法律法规也会更复杂。而且,我们现有的,已采取的传统网络安全措施将失效。
在赋能新场景方面,例如联网汽车、自动驾驶、智能移动,为了在保护这些新场景,网络安全是一大关键。网联汽车与物联网有着诸多方面的联系,汽车就是一个可以每小时行驶200公里的物体,我们将看到很多为网联汽车增光添彩的功能和事物,例如为汽车司机或乘客提供的车载体验。自动驾驶、高级导航、客户参与和思维,您可以通过联网汽车了解到客户的更多信息,远程信息处理和预测服务。例如维修保养预测,什么时候该做汽车维修/保养了。另外一个很重要的功能是OTA(跨区域)更新。你自己将来可以修理汽车,做软件更新,就像我们在IT系统或iPhone上更新一样,但更新不能在汽车行驶时进行。所以说,网联汽车和物联网有很多安全问题需要考虑。
要建立安全的生产过程,设置软件的安全加载和配置,安全性管理包括设备验证、数据安全
设备与移动应用程序的融合。汽车的销户以及汽车主人变了之后,汽车的重新投入使用,所有这些都属于网联汽车的范畴。监管即将到来,汽车制造商必须考虑这些。因此在网联汽车的整个生命周期中纳入安全性,对于应对新IoT系统的威胁至关重要。
物联网正处于成长之中,2018年有230亿台联网设备,到2025年将增加到750亿台联网设备,这一点很重要。从网络的角度来看,有大约25%的网络攻击是针对物联网的,但只有10%的网络安全预算是用于保护物联网的,所以差距显而易见。物联网袭击从2018年的1200万起增加到2019年的1.05亿起,一辆联网汽车每月面临约30万次攻击,现在如何解决这个问题?需要从不同的维度去解决。
首先,需要在技术层解决。其次在组织层解决。
在安全概念里,首先要识别设备,例如汽车和汽车内的通信内容。其次是汽车的使用,确保通信正确,确保是正确的用户在进行安全的通信。另一方面需要执行正确的规则,为汽车和网络的应用程序制定访问规则,包括车内网络、汽车之间的网络,还有云之类的。然后需要控制对后端的访问,对应用程序、整个连接、对机器学习,对人工智能系统的访问。这些都需要保护,这不是做做样子的。因此,需要一个能够动态应对网络攻击的安全概念。
静态策略不再正确,大家需要了解发生了什么,并立即阻止恶意访问,这是我们需要在汽车、云后端以及网络中实施的,这是技术层面。在组织层面,我们看到许多监管即将出,例如UAECE网络安全法规 如供应链安全的T-CS和即将在世界所有地区实施的关键基础设施保护法。为了管理所有这些法规,还需要一个集成的管理系统,会非常复杂。我们可以为您提供一个框架,将所有这些放在一个框架内。在单一系统中,创建网络安全、风险管理和合规性,符合所有技术和组织层面的要求。
我希望大家喜欢我的演讲,如果大家有任何问题,都可以通过屏幕上的电子邮件联系我。非常感谢大家的聆听,希望大家度过愉快的一天。
(注:本文根据现场速记整理,未经演讲嘉宾审阅,仅作为参考资料,请勿转载!)