汽车信息安全(5):安全对策没有“标准答案”
在上篇文章中,文章通过对汽车每种功能群可能遇到的威胁进行排查,考虑了相应的安全对策。本连载的最后一篇,也就是第五篇,将为大家介绍按照汽车的生命周期采取的措施,并在最后总结笔者自己对信息安全的一些想法。
安全措施要覆盖商品的整个生命周期
日本信息处理推进机构(IPA)按照汽车的生命周期(策划、开发、使用、废弃),整理出了相应的安全对策(表1),其中也包括了所有企业都需要的管理方针。共分了15个项目。
表1:整个生命周期的举措
| 生命周期 | 安全举措 | 概要 |
| 管理 | 制定安全规则 | 设定安全相关组织的规定和规则。 |
| 实施安全教育 | 对参与开发和使用的人员,实施安全基础概念和安全技术的培训。 | |
| 安全信息的收集和发布 | 收集可能与自己的组织开发的系统有关的漏洞的信息、事件信息、标准化动向等,向相关人员发布。 | |
| 策划阶段 | 定义安全要件 | 对于将要开发的系统,结合其使用方法和使用的信息,定义安全要件。 |
| 确保安全相关预算 | 为开发阶段的安全对策费、使用阶段实施的安全升级等制定预算。 | |
| 外包开发时的安全措施 | 确定外包开发时的签约规则、能担保人员和委托品的安全品质的规则及筛选方法。 | |
| 应对与新技术相关的威胁 | 探讨今后汽车可能采用的新技术的威胁和风险。 | |
| 开发阶段 | 设计 | 结合安全功能的安装方式和日志收集方式等进行设计。 |
| 安装时的安全对策 | 利用可防止漏洞出现的安全编码和编码标准。 | |
| 安全评估和调试 | 在测试环节利用源代码的复查和模糊测试等方式检验。 | |
| 准备向用户提供信息所需内容 | 汇总有助于用户正确利用系统的信息。 | |
| 使用阶段 | 安全问题的应对 | 构筑发生事件时能快速采取应对措施的联络体制,实施训练等。 |
| 向用户和汽车相关人员提供信息 | 探讨在发现漏洞时向用户发布安全补丁和信息的方法。 | |
| 充分利用漏洞相关信息 | 合理使用漏洞相关信息,防止已经发现的漏洞再发、减少漏洞对于相关系统的危害。 | |
| 废弃阶段 | 制定废弃方针等 | 在汽车废弃时提供信息删除功能,防止用户信息等落入他人之手,并公开删除方法。 |
直到废弃都不能怠慢
让我们先来根据表1,了解一下在影响整个生命周期的“管理”、“策划”、“开发”、“使用”、“废弃”各个阶段的注意事项。
1.管理(整体)
无论在汽车生命周期的哪一个阶段,产品提供商都必须要坚持不懈地实施安全对策。制定整体方针,并按照这一方针,在各个阶段实施连贯的安全对策。如果每次开发产品和服务时都从零开始制定安全对策,不仅会造成大量浪费,还有可能让组织的安全对策出现偏差。
在管理方面,尤为重要的是培养精通信息安全的人才、制定贯穿整个开发体制的基本规则、不断收集与“日新月异”的攻击方式相关的信息。
2.策划阶段
从进入实际的开发之前的策划阶段开始,就要结合安全对策,这一点非常重要。因为在策划阶段,经常要讨论汽车整个生命周期的预算。
在这一阶段,汽车的理念、配备的功能都将确定。此时,需要考虑各项功能的安全性的重要程度,为与重要程度相符的对策分配预算。而且,在选择车辆配备的功能,转交给开发方面的时候,一定不要忘记要包括安全要件。
3.开发阶段
在制造阶段,汽车企业及部件企业设计硬件和软件并安装到汽车上,是安全对策的最前线。
这一阶段必须要做的是“准确安装要件定义”、“安装时杜绝漏洞”、“万一存在漏洞,也要能在出货之前发现”。至于相关对策,还请参考本连载的前几篇文章。此外,如果预算充裕,还需购置漏洞评估设备等。
4.使用阶段
这是用户通过销售店等渠道买到汽车,实际使用的阶段。在车辆使用期间,位置信息、用户下载的软件、用户的操作记录和行驶记录等大量的信息将存储在车辆和数据中心之中。而且,像汽车共享、租车、公司用车这样,用户并非车主、用户会在短期内更替的情况也为数不少。
虽然安全对策要配合用户使用的场景来实施,但也要注意保护隐私。另外,如果在车辆售出后发现漏洞,还必须考虑构筑能将相关信息通知用户和车主、与销售店和维修厂等构建合作应对的体制。
5.废弃阶段
在用户因换购、故障等原因废弃汽车的阶段,往往容易忽视安全对策,因此在这一阶段尤其要注意。废弃的方式包括通过二手车销售店等渠道转让给其他用户、注销后报废等。不同的情况必须采取不同的对策。
用户的协助必不可少
在上面提到的贯穿整个生命周期的举措中,笔者觉得最为重要的是在使用阶段“向用户、汽车相关人员提供信息”。因为在开发阶段几乎不可能制造出毫无漏洞的系统。
汽车的生命周期很长。在用户开始使用之后,很可能会出现新的攻击方式和漏洞。创造在使用后给车辆安装安全补丁的机制可谓势在必行。
但是,安装安全补丁最好不要像一般信息系统的软件升级那样使用互联网。
作为针对可能遭到瞄准漏洞的攻击的用户确实采取的安全对策,可以在车检时实施升级,纯电动汽车则可以在充电时升级。例如使用嵌入式软件的电视机,就有通过电视信号升级的案例。
另外,废弃阶段的“制定废弃方针等”也容易被忽略,要特别注意。除了车主,汽车还经常由他人驾驶。用户转让二手车的情况也比较多。租车、汽车共享等多位用户同开一辆车的机制也十分普及。这就需要采取措施,防止车主的个人信息落入他人之手。
现在的车载导航仪系统可能保存着车主的住址,公司用车则可能保存着客户的信息,如果车载导航仪可以使用SNS(社交网络服务),还有可能保存着账号、密码等数据。
在信息系统的世界,废弃的硬盘泄露信息的例子很多。汽车上也已经出现了车载导航仪显示以前车主的信息之类的问题。
要想确保安全,除了企业采取措施之外,汽车用户的协助同样不可或缺。今后,企业对用户的安全启蒙活动估计会愈发重要。
不要为安全对策制定“标准答案”
最后,笔者想阐述一下自己对于汽车信息安全的看法。
首先,汽车相关企业的读者需要认识到,信息安全对策没有“标准答案”。因为随着使用环境、服务内容的不同,采取的对策也有很大不同,而且,一旦确定了“标准答案”,必然会出现专门找(制造)空子的恶意攻击者。而根据笔者的经验,空子一般都能找到。
汽车行业的开发流程极其注重安全性和可靠性,恐怕很难接受不制定“标准答案”的方针。因为这一方针与彻底排查出可能有损安全性和可靠性的因素并采取对策、然后将对策标准化、全公司共享的汽车开发流程格格不入。
另外,车载系统与网络、信息系统的联动今后还会加速发展。在汽车开始飞速互联之际,安全对策要实施到何种程度?对此,笔者还没有找到答案。
尽管如此,社会必然还是会要求车载系统采取安全对策。但世上没有“万能药”,公司内的各个组织必须在实施风险管理的同时,确定采取对策的范围。到那时,要想实现严格的风险管理,恐怕必须要采取全面的威胁及对策方针。届时,希望大家可以充分利用IPA公布的“汽车信息安全措施指南”。
不过,在实施对策时,笔者担心只有开发者在负责推动汽车安全的发展。信息安全不是单凭开发者的努力就能做到的。除了在实际使用汽车的阶段采取安全对策之外,车主留意即可解除的威胁、必须由提供车载系统联动服务的组织实施对策的威胁也为数不少。
幸运的是,汽车行业存在统一接受教育的机会,那就是领取及更新驾照的时候,而且还有定期检查车辆的“车检”体系。今后,很可能必须要利用这些社会机制,使汽车所处的环境更加安全。
维护汽车信息安全的举措才刚刚开始。IPA今后还将与汽车相关企业合作,唤醒大家的安全意识,继续整理威胁和对策技术。衷心希望各位读者能够从不同的角度(开发人员、服务商、车主等)出发,提供协助。
