智能应用 影音
DFourm0722
event

车用网安产学对接 企业应以「精准网安」为目标

车用网安产学对接 企业应以「精准网安」为目标

有鉴于联网车的普及使得汽车信息安全风险急遽上升,以及欧盟针对车用网安规范于2022年7月开始进入强制实行阶段,让各车厂及其供应链对网安议题的重视拉至最高点。

针对联网化趋势带来的网安冲击,长期研究网安议题的中山大学工学院院长、中华民国信息安全学会理事长范俊逸提出「精准网安」概念,建议企业可从理论、技术、法规、环境、成本、管理及效能等七大面向来进行网安需求检验及后续解决方案拟定。

为达到「基于安全的设计(Security by Design)」目标,企业及供应链皆得由下而上、从底层到应用端,去拟定完整的网安规范及流程。而在确实执行之前,范俊逸认为,其步骤应为:一、需求评估,二、订定核心理论基础,三、选择符合需求的技术落地,四、成本及效能考量,五、法遵监测,以及于企业内建立网安的共识与环境,并从管理端落实。
针对车用网安防范与过去物联网网安之间的差异,奥义智能(CyCraft)共同创始人暨网安长丛培侃指出,事实上车用网安与物联网网安的本质相同,都包含计算单元、通讯、应用程序及云端沟通几个面向,然而差异在于汽车对于安全性的标准更高,且其所在环境的条件变化大,同时,汽车有相当多零组件皆由不同供应商所提供,不同供应商产品皆有其软件需要维护及更新,当汽车制造厂(OEM)将其组装之后,需要进一步管理汽车上50~100个不等数量的电子零组件信息安全,相较于物联网装置的规模庞大许多。

丛培侃进一步表示,如何做好大量电子零组件的软件版本管理,对于车厂来说实属难事,因此,预期未来车厂在管理汽车软件更新上,需要考虑及符合法遵的部分将会相当复杂,然而这项困难预计会在汽车电子电气架构改变后趋缓。

除此之外,车联网网安涉及领域除了车内各电子零组件分别的情况之外,亦须考虑向外连结的硬件设备,如其他汽车、移动装置或者路侧设备及交通号志等。丛培侃坦言,这也是为什麽近期许多公协会、联盟、大厂都要站出来召集产业制订共通标准的原因。

既然网安防护将会成为本世纪最重要科技变革的「必备事项」,那麽目前在技术上,是否有尚且不足的部分?对此,范俊逸指出,事实上,学界在技术面上早已领先业界5~10年,因此技术基本已经到位,对于国家及企业而言,本阶段需要进一步探讨的,是如何透过「精准网安」概念将其落地。

所谓精准网安,范俊逸表示其包含面向极广,包括理论、技术、法规、环境、成本、管理及效能,精准的概念在于「量身定制」,也就是说,网安防护机制一旦过多,就会沦为叠床架屋,实则无效,且可能会产生额外的攻击点,对于供应链及车厂来说并无好处,因此在导入任何网安解决方案之前,厂商应先了解自己需要的究竟是什麽?包含自身的弱点、需求,了解清楚后再来寻求解方。

范俊逸认为,在了解自家需求的前提之下,首先要选择正确的理论基础,网安技术师承多派,然欲挡住黑客,需要有坚若磐石的核心,企业必须择一理论来作为主轴,以此发展网安布局,才不会方寸大乱,导致东补一块、西补一块,却没有补到必要之处。

其次,以理论为基础,盘点企业所需的技术层次,范俊逸表示,每个领域可能受到攻击的点皆不同,同样的,一个理论基础落地亦会有不同的考量;其三则是法遵、其四为成本考量。

而在管理面上,网安制度进入供应链后,一定要有相对应的措施、管理方法去支持网安制度的落实,很多时候,网安并不是导入一个解决方案如此简单,而是如何将网安「意识」落实到企业里每一个角落、每一位员工,因此其中包括新进员工管理、重要机房管理等,皆需要有相对应的流程革新。范俊逸强调,网安议题很多时候是攸关于「人」的问题,内部控管系统必须合作,否则人的问题一旦出现,企业标准订定在清晰,设计不照做、生产不照做,仍然会有后续问题产生。

之所以认为此刻为发展「精准网安」最好时机,在于网安议题终于从「Nice to have」晋升为「Must have」阶段,因此对于企业而言,如何从需求出发,去寻求符合企业现况、成本可负担的网安解决方案,尤为重要。

对此,范俊逸亦不讳言指出,网安的技术面通常不是问题,网安落实于供应链最大的问题在于产业没有搞清楚、尚未准备好、不愿意投入成本及管理技术没有到位,毕竟加入网安考虑某种程度上必须牺牲一部分的效能,同时得提高成本,这对于过去以高效能、低毛率为主要模式的台厂而言,是相当大的思维转换。

  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: 网安