用戶的協(xié)助必不可少
在上面提到的貫穿整個(gè)生命周期的舉措中�,筆者覺得最為重要的是在使用階段“向用戶、汽車相關(guān)人員提供信息”��。因?yàn)樵陂_發(fā)階段幾乎不可能制造出毫無漏洞的系統(tǒng)。
汽車的生命周期很長��。在用戶開始使用之后�,很可能會(huì)出現(xiàn)新的攻擊方式和漏洞。創(chuàng)造在使用后給車輛安裝安全補(bǔ)丁的機(jī)制可謂勢(shì)在必行���。
但是�,安裝安全補(bǔ)丁最好不要像一般信息系統(tǒng)的軟件升級(jí)那樣使用互聯(lián)網(wǎng)���。
作為針對(duì)可能遭到瞄準(zhǔn)漏洞的攻擊的用戶確實(shí)采取的安全對(duì)策�����,可以在車檢時(shí)實(shí)施升級(jí)���,純電動(dòng)汽車則可以在充電時(shí)升級(jí)�。例如使用嵌入式軟件的電視機(jī)����,就有通過電視信號(hào)升級(jí)的案例。
另外�����,廢棄階段的“制定廢棄方針等”也容易被忽略�,要特別注意。除了車主���,汽車還經(jīng)常由他人駕駛��。用戶轉(zhuǎn)讓二手車的情況也比較多����。租車�����、汽車共享等多位用戶同開一輛車的機(jī)制也十分普及。這就需要采取措施����,防止車主的個(gè)人信息落入他人之手。
現(xiàn)在的車載導(dǎo)航儀系統(tǒng)可能保存著車主的住址���,公司用車則可能保存著客戶的信息�,如果車載導(dǎo)航儀可以使用SNS(社交網(wǎng)絡(luò)服務(wù))����,還有可能保存著賬號(hào)����、密碼等數(shù)據(jù)。
在信息系統(tǒng)的世界��,廢棄的硬盤泄露信息的例子很多���。汽車上也已經(jīng)出現(xiàn)了車載導(dǎo)航儀顯示以前車主的信息之類的問題����。
要想確保安全,除了企業(yè)采取措施之外���,汽車用戶的協(xié)助同樣不可或缺�。今后���,企業(yè)對(duì)用戶的安全啟蒙活動(dòng)估計(jì)會(huì)愈發(fā)重要���。
不要為安全對(duì)策制定“標(biāo)準(zhǔn)答案”
最后,筆者想闡述一下自己對(duì)于汽車信息安全的看法�。
首先,汽車相關(guān)企業(yè)的讀者需要認(rèn)識(shí)到����,信息安全對(duì)策沒有“標(biāo)準(zhǔn)答案”。因?yàn)殡S著使用環(huán)境�����、服務(wù)內(nèi)容的不同�����,采取的對(duì)策也有很大不同����,而且�����,一旦確定了“標(biāo)準(zhǔn)答案”��,必然會(huì)出現(xiàn)專門找(制造)空子的惡意攻擊者���。而根據(jù)筆者的經(jīng)驗(yàn),空子一般都能找到�。
汽車行業(yè)的開發(fā)流程極其注重安全性和可靠性,恐怕很難接受不制定“標(biāo)準(zhǔn)答案”的方針�����。因?yàn)檫@一方針與徹底排查出可能有損安全性和可靠性的因素并采取對(duì)策����、然后將對(duì)策標(biāo)準(zhǔn)化��、全公司共享的汽車開發(fā)流程格格不入��。
另外�����,車載系統(tǒng)與網(wǎng)絡(luò)、信息系統(tǒng)的聯(lián)動(dòng)今后還會(huì)加速發(fā)展����。在汽車開始飛速互聯(lián)之際,安全對(duì)策要實(shí)施到何種程度�?對(duì)此,筆者還沒有找到答案���。
盡管如此�,社會(huì)必然還是會(huì)要求車載系統(tǒng)采取安全對(duì)策����。但世上沒有“萬能藥”,公司內(nèi)的各個(gè)組織必須在實(shí)施風(fēng)險(xiǎn)管理的同時(shí)����,確定采取對(duì)策的范圍。到那時(shí)�,要想實(shí)現(xiàn)嚴(yán)格的風(fēng)險(xiǎn)管理,恐怕必須要采取全面的威脅及對(duì)策方針�����。屆時(shí),希望大家可以充分利用IPA公布的“汽車信息安全措施指南”�。
不過,在實(shí)施對(duì)策時(shí)����,筆者擔(dān)心只有開發(fā)者在負(fù)責(zé)推動(dòng)汽車安全的發(fā)展。信息安全不是單憑開發(fā)者的努力就能做到的�。除了在實(shí)際使用汽車的階段采取安全對(duì)策之外,車主留意即可解除的威脅����、必須由提供車載系統(tǒng)聯(lián)動(dòng)服務(wù)的組織實(shí)施對(duì)策的威脅也為數(shù)不少。
幸運(yùn)的是�����,汽車行業(yè)存在統(tǒng)一接受教育的機(jī)會(huì)�,那就是領(lǐng)取及更新駕照的時(shí)候,而且還有定期檢查車輛的“車檢”體系�����。今后�,很可能必須要利用這些社會(huì)機(jī)制����,使汽車所處的環(huán)境更加安全�����。
維護(hù)汽車信息安全的舉措才剛剛開始��。IPA今后還將與汽車相關(guān)企業(yè)合作�,喚醒大家的安全意識(shí)��,繼續(xù)整理威脅和對(duì)策技術(shù)��。衷心希望各位讀者能夠從不同的角度(開發(fā)人員��、服務(wù)商���、車主等)出發(fā)�����,提供協(xié)助��。(日經(jīng)技術(shù)在線��! 供稿)
