特斯拉股價狂漲,全球電動車產業百花齊放,在減碳需求與綠色復甦推波助瀾下,世界各國及各大車廠都已準備踏上電動車的浪潮上。當前汽車產業正面臨百年來最巨大的轉變:車輛不再只是交通工具,而是具有強大運算能力、隨時連網的大型電腦系統。在新場域新商機的背後,仍有很多過去從來沒有思考過的問題有待解決,例如,對於乘客安全影響至大的資安問題。
駭客透過遠端就能控制車輛 沒有資安的車你敢買嗎?
你是否在電影中看過駭客透過遠端控制車輛系統,形成殭屍車大軍攻擊特定對象的駭人場景,儘管這些情節在短時間內還無法完全成真,但現實生活中,要遠端控制汽車其實並不困難。鴻海研究院執行長、資通安全研究所所長李維斌表示,目前新能源車上的資安防護尚未受到應有重視,「其實是不堪一擊的。」而且原則上功能愈多,被駭的可能性也愈高,像是被強制熄火、控制音響或冷氣等資通安全問題,並不罕見。
新能源車產業集合了多項重要的技術發展,實現人類對未來交通工具的想像,具備包括連網、自動駕駛、電動化等特色,也帶動一波創新的可能性與產業發展空間。因此,中華民國資訊安全學會、鴻海研究院舉辦「NExT Forum: Cybersecurity Challenges in E-Vehicle」論壇,希望提供產、學、研界專家交流與對談的平台,從傳統車輛到智慧車輛、硬體到軟體、有線到無線的多元角度,集思廣益,共同探索新能源車安全相關技術以及可能存在的攻擊手法與威脅,並了解這個新場域的相關法規與標準,建立完善值得信賴的能源車資安系統。
這場論壇一開始即由鴻海科技集團技術長魏國章以「車聯網所帶來的網路資安新挑戰」為題,分析資安的各種挑戰以及相關防護技術。由於MIH集合眾多聯盟廠商,共同建構出下世代電動車開發平台,聯網車輛透過感測器蒐集和多個感測器融合提供現有或自動駕駛車輛感知的資訊,進而做到決策與控制的功能,可預見未來的汽車都會具備聯網能力。在EEA(電子電氣)架構日益變動下,駭客更容易藉由聯網及系統漏洞來進行攻擊並進而影響行車安全,因此需要不同的資安架構以因應聯網車而引來的資訊安全威脅。
在鴻海研究院諮詢委員、台灣科技大學資管系吳宗成特聘教授的號召之下,包括台灣微軟、趨勢科技、奧義智慧科技、鴻海科技集團等國內外多家重要企業不僅出席論壇,更攜手倡議成立「新能源車產業資安聯盟」,希望讓產業了解新能源車資安問題的重要性與發展潛力,從對於cybersecurity重要性的認知開始,逐步建立分享技術應用與規範平台,描繪出新的產業藍圖、形成產業聚落。
當前攻擊與防護技術解析 資安攻防戰已經啟動
2016年,Mercedes-Benz率先在巴黎車展上提出「C.A.S.E.」核心策略理念,指出未來移動的四大核心:Connected車聯網、Autonomous智能自駕、Services & Shared共享服務,以及Electric電動化。趨勢科技資深產品經理楊豐愷指出,當汽車正邁入C.A.S.E的年代,這四個輪子所乘載的是帶有強大運算能力的車用電腦,車身網域控制器,以車用乙太網與傳統CANBus 等混合而成的一個小型移動網路,小至手機,大至整個智慧交通路網等國家建設都是其連接對象。在這場論壇中,趨勢科技則分享如何融合車內的資安防護技術,搭配雲端運算與資料關聯能力以提供點、線、面的保護,同時預測並追蹤威脅等複雜的課題。
針對現階段電動車發展瓶頸,鴻海MIH電動車開放平台提倡透過軟體定義、軟硬分離與開放生態三大特色,並突破目前汽車產業的封閉環境。面對即將來臨,由軟體定義的車輛時代,若將道路上的車輛視為許多小電腦的組合,傳統維運IT主機或載具的資安示警方式,並沒有辦法無法乘載車輛電腦對於高可靠度、即時性與安全性兼顧的要求水準,奧義智慧科技股份有限公司共同創辦人叢培侃針對「從診斷到監控,建構車輛資安維運中心(V-SOC)」一題,提出對於車輛電腦雲端診斷分析(Cloud Diagnostics )與安全的韌體更新(Secure OTA)整合平台,並透過AI技術打造全新車輛安全監控中心(V-SOC)。
由於自駕車安全是一個涵蓋車、路、雲等系統性的問題,不僅是汽車安全標準,還包括資安風險,中華資安國際股份有限公司總經理洪進福以自身企業在自駕車實證場域所做的資安威脅分析為例,分享如何建立對應的自駕車、路側單元、雲端行控中心等整體防護、監控架構,以及透過紅隊檢測進行偵測防護的有效性驗證,期望藉以強化自駕車開發業者與營運服務商的安全防護能力。
目前已公開的實證攻擊手法,包括在OTA升級、T-box通訊模組、ECU、車機娛樂系統、PKI認證等,博歐科技執行長范紀鍠則與現場聽眾分享「車聯網的攻擊手法策略與威脅現況」,透過瞭解攻擊手法與思維,協助檢視車聯網的安全建構方案與營運策略。
打造以資安為核心的信任環境 不可忽視的系統架構面
除了商機與挑戰、資安攻防,系統建構以迄規範框架的建構面向也是資安產業未來發展不可或缺的一環,台灣微軟大中華區物聯網技術團隊負責人林孟洲帶來的最新安全科技及實際案例分享,並帶領聽眾了解從電動車到車聯服務雲端的全方位安全保護策略,以及整體環境的確實執行面,分享微軟如何從全球視野並考慮執行現況下,提供安全的平臺及工具賦能於車廠及生態鏈創新。
最後,數位經濟暨產業發展協會副理事長詹婷怡則透過「以資安為核心的信任環境建構-以自駕車為例」為題,分享以信任的生態系統(Ecosystem of Trust )在法規、政策、與監理的趨勢。詹婷怡指出,當今在資通訊及5G與寬頻匯流發展下,從雲端與邊緣到萬物智慧相連所帶來的新體驗,衍生了諸多範圍廣泛且複雜的議題,包括標準及互通互連、資訊安全、資料治理、演算法與偏見、程式設定與漏洞、倫理等。因此,如何建立可受信任的環境,將是科技技術發展時,不能忽視甚至應加倍關注的議題。
詹婷怡以自駕車為例,指出其不僅重新定義了車輛產業(redefining mobility),也帶來生態系統結構性改變、創新應用整合,及測試驗證國際接軌等挑戰,不僅相關法規整合與整體檢視亟需有規管創新(regulating innovation)的精神;更須從基礎層、網路層、及應用服務層系統式建構以資安為核心的信任環境。
本場論壇影片可點選以下連結觀賞