資安展聚焦車用資安 鴻海李維斌:資安不好的車以後難賣

作者 : 蔡銘仁,EE Times Taiwan

未來車發展帶動的車聯網趨勢,讓車用資安搖身今年2022台灣資安大會 (Cybersec) 的重要議題之一。包括趨勢科技、鴻海、奧義智慧科技等知名廠商,都拿出看家本領,不僅要掌握商機,更期望帶動產業共榮,攜手找出最佳解決方案。

車與車、車與各類路側設施透過網路頻繁進行資料傳輸,幾乎是必然的趨勢,這也讓過往相對封閉的車內系統,可能出現被駭客入侵的破口。為此,聯合國歐洲經濟委員會 (UNECE) 在世界車輛法規協調論壇 (WP.29) 特別頒布R155及R156法規,針對聯網及車輛可能遭遇的資安威脅建立規範,主要汽車生產國如日本、歐盟等,今年開始以該法規要求車廠,歐盟並擬在2024年7月起將對所有新出產的車輛強制實施。

「資安做到車內沒有想像中的容易!」鴻海研究院執行長李維斌出席奧義智慧科技演講活動時,直言車過往屬於封閉網路,外部資料送不進去也讀不出來,現在基本上幾乎沒有防護,但以後一旦連網,如車輛數位化將車內資訊送往雲端、透過網路進行更新等,被駭客攻擊車就可能牽涉人身安全,嚴重性相當高,「車用資安不是比勝負,以後沒有資安就沒有心安,必須保證所有車一定安全。」

鴻海參與2022台灣資安大會,以三輪車及自駕車演示EV Kit的功能。 (來源: 蔡銘仁攝影)

由於車輛的解密複雜,成本也高, 鴻海本次攜手來自台北科技大學的團隊,展示名為EV π的電動車開發者工具平台應用EV Kit,搭配中華資安提供的憑證。現場納智捷的自駕車及北科團隊打造的自駕三輪車,當路側設備 (RSU) 被駭客攻擊,兩台車上的車載單元 (OBU) 接收到資訊並驗證有問題,即同步以閃雙黃燈示警,以此展示在遵守EV Kit規範下,運用EV π在任何車上開發,最終都可運用進電動車或自駕車。

另,鴻海MIH電動車聯盟之一的AI資安科技公司奧義智慧 (Cycraft) ,與聯盟夥伴緯創合作研發搭載於T-Box的車聯網資安偵測與回應機制 (VDR) 入侵監測系統,也在本次展會亮相,該系統實現車載系統上AI即時入侵偵測、惡意行為監控與應變等功能,凸顯MIH聯盟會員緊密合作所發揮的綜效。

李維斌表示,車的系統封閉,場域知識也很難取得,EV π的推出是希望降低做電動車資安的門檻,未來車輛安全的研究不用動到整台車,藉由這次展出也告訴大家EV π跟實體車可用相同的協議 (Protocol) 。他也說,以後車的資安不夠好,大家可能不敢買,鴻海研究院負責把車解密,接下來也希望跟業界夥伴一起合作,找出車上可能產生攻擊威脅的路徑、定義風險等級,並規劃出最後的解決方法。

奧義智慧展出搭載於緯創T-Box的入侵監控系統。 (來源: 蔡銘仁攝影)

著眼未來車的資安,趨勢科技本次也攜手旗下專攻車用資安的Vic One參展,並在攤位舉辦車用資安的主題演講。趨勢表示,電動車已經讓車輛從代步工具延伸成為智慧移動裝置,「聯網車將為駭客集團新的攻擊場域」,位處電動車產業上游的供應鏈零組件廠商也將成為駭客發動攻擊的首要目標。

趨勢指出,駭客可能鎖定的目標,包括工廠或研發單位,駭客或將預先把惡意程式埋進原始碼或公版程式內,等待惡意韌體版本部署到車子後在合適時機喚醒,不論針對車內娛樂系統、導航或是遠端入侵自動駕駛系統,都將對行車及人身安全造成重大影響 。

另,趨勢也點出近年熱議的元宇宙,未來可能衍生資安風險。趨勢表示,企業耕耘元宇宙世界的土地買賣、虛擬貨幣交易、區塊鏈、智能合約等相關市場商機,民眾也在元宇宙進行虛擬交易買賣,期望從中致富獲利。預期駭客將跟隨潮流朝向虛實整合目標邁進,將過去20年實際網路攻擊經驗複製到元宇宙,從企業和使用者兩端逼近,包含NFT交易平台、QR code、熱錢包都將有機會被駭客利用進行釣魚及詐騙。

「駭客集團透過既有攻擊手法獲利,並鎖定新興科技產業為下一波攻擊目標,已是進行式,」趨勢台灣區暨香港區總經理洪偉淦表示,隨著科技發展與商業環境的演變,未來企業要面對的是更為棘手、經過縝密性規劃的進階攻勢,「台灣位處全球高科技製造供應鏈中樞,資安事件所影響的範圍不再是單一公司問題,而是擴及客戶、合作夥伴、產業供應鏈甚至國家的重要議題。如何透過資安風險的管理及評估以升級資安韌性,應列入政府與企業經營團隊的重要工作項目。」

BV台灣消費品產品事業部科技產品事業群總經理Paolo Ingarao。

車用資安顯然將成為未來車不可或缺的一環,車用系統的資安防護足不足夠,就得仰賴第三方的認證單位進行認證。必維國際檢驗集團 (Bureau Veritas, 下稱BV) 今年參與資安展,也將車用系統的資安服務列入其中一個主軸,BV台灣消費品產品事業部科技產品事業群總經理Paolo Ingarao於展場受訪時,亦特別強調車用資安的相關測試認證,將是公司未來發展的其中一個重點。

BV表示,駭客攻擊目標,以前集中於政府、金融機構,現在頭號受害者,則是製造業及其供應鏈,連半導體也無法倖免,BV採取整體安全方法,主要涵蓋半導體、物聯網、工控網、醫療、車用系統等領域的資安服務,於今年4月經全國認證基金會 (TAF) 審核通過,提供一站式服務,取得全球唯一同時具備ISA/IEC 62443-4-2 與 Component  Security  Assurance(CSA)V1.0.0 二項資安測試的資格標準。

BV表示,其服務可加速客戶進入全球市場的速度,測試項目包括半導體產業晶圓設備資安標準「SEMI E187」、歐盟消費性物聯網資安標準相關方案等,提供完備的流程和技術之外,更致力提升公司內部人員的資安知識,真正落實「資安即國安」的精神,提供獨立網路安全評估服務,幫助公司全權掌控數位資安安全。

BV資安測試驗證服務涵蓋半導體、物聯網、工控網、醫療、車用系統等領域。

 

加入我們官方帳號LINE@,最新消息一手掌握!

發表評論