如今网联汽车复杂的架构本身易受恶意攻击,因此对驾驶员和乘客都构成重大风险。网联汽车最多可容纳电子控制单元150个,软件代码约1亿行,未来可高达3亿行。应用程序、线上服务等网联服务以及汽车的特点都增加了汽车受攻击的几率。复杂的汽车架构,支持新型车载服务的软件,都意味着有更多方面要参与供应链。


随着新供应商加入、汽车技术日益复杂,汽车行业共同努力,建立一个开放清晰的沟通网络,覆盖整个供应链,成为了最重要的任务。幸运的是,这些挑战都能够克服。汽车行业有机会简化网络安全沟通,造福整个供应链。这需要评估汽车行业目前的状态,分析对于全行业沟通有用和无用的方法,简化流程中老旧的供应链沟通渠道,并利用综合的网络安全生命周期管理平台协助沟通工作,应对网络安全策略的变化。


行业现状

全球最贵的十个召回中有一半来自汽车行业,召回的物品包括气囊、发动机等。召回的损耗取决于召回的部件,最高可达几十亿美元。2019年,高田的气囊被召回,影响了19个不同整车厂和3700万辆已经售出的汽车,这是花费最高的几例之一。目前,行业已经具备若干供应链管理规定,也有团队处理必要的召回。同时,质量保证团队也与之协作,避免召回。

blog_2020_07_07

想象一下,如果在召回中,责任最为重要,而数百万兆的用户数据面临风险,会出现什么状况。考虑到目前上路的网联汽车数量,这一情况非常可能。为了阻止这种情况发生,汽车信息共享与分析中心(ISAC)专注于创造汽车网络安全信息共享空间。该中心目前举办的一系列活动对整车厂和供应商都是极好的机会,能够触及核心,解决行业层面的问题。然而,要想将汽车ISAC分享的知识简化为实际的风险评估流程,方便制造商采用,这仍是全行业正在积极解决的挑战。整车厂和一级供应商从全局出发,建设将网络安全视为安全问题的的新文化,便能在整个供应链中引领行业对话,同时利用汽车ISAC的资源。


简化供应链各环节的沟通

一直以来,汽车行业都忽略了全行业的网络安全标准。这主要是因为,整个行业到现在都很幸运,没有因轰动的黑客事件而遭到消费者抵制。网联汽车架构更加复杂,因此行业的疏忽对驾驶员更加危险,这也是公司的底线。


新的ISO 21434汽车网络安全标准是一个鼓舞人心的例子,展示了全行业的通力合作。然而,这一标准仍有局限性,因为其中没有对实施方法提供具体可行的指导。此外,标准中缺少了全供应链的持续沟通计划,而这在网络安全的实施中必不可少。现在,行业间的合作比以前任何时候都要更紧密,因此,要开发有效、定制的沟通渠道,用于交换网络安全的标准和规范,目前就是最佳时机。

blog_2020_07_07

虽然网络安全供应链管理(SCM)是一个新概念,但汽车行业在一个世纪以前便已经面对复杂供应链的问题。福特汽车公司的Dan Georgescu博士说道:“如果要成功运营供应链,绩效评估必须贯彻始终,成为一个持续改进的过程。”现在,网络安全是绩效评估的重要关注点。此前汽车行业的供应链各方为其他汽车部件展开沟通,而如今,需要围绕网络安全展开同样的沟通。对整车厂和供应商来说均是如此。Georgescu博士还说道:“发展供应商是整车厂绩效评估的核心标准。”一直以来,供应链管理都是行业重点,因此其很多经验都能应用于应对新挑战。


然而,在大部分情况下,供应链管理流程都很繁琐,需要收集质量和交付指标以优化性能。如今,汽车行业有机会在行业层面根据相关的网络安全KPI重新定义这一流程。汽车行业已经开始了解网络安全的复杂之处,也在ISO 21434标准之下面对这些问题。现在,我们必须从过去的供应链管理流程中吸取经验,让沟通更加顺畅。


理想的沟通平台
blog_2020_07_07

汽车行业需要全面的管理平台来管理整个供应链、以及汽车全生命周期内的网络安全需求。这些网络安全生命周期管理平台应该为整车厂和一级供应商提供可视性,满足在网联汽车全生命周期内的网络安全需要,并解决汽车网络安全系统的复杂问题。


创建管理平台的目标在于为网络安全生命周期提供无所比拟的透明度,以对包括风险评估、计划制定、策略制定、策略实施在内的每个阶段进行流程化管理。这种透明度最终会促进沟通,供应链上各方能够实时共享信息,避免沟通不畅、信息过时。


▪   ▪   ▪  

结论
blog_2020_07_07

整个供应链的开放沟通非常重要,能够在面对ISO 21434等网络安全新规定时取得成功。尽管汽车行业还需克服许多障碍,但可以利用一个世纪以来的供应链管理经验,定制新的沟通渠道,满足网络安全需要。可以利用汽车ISAC的机会,讨论如何将行动项目转化为行业资源,以及如何应用新的安全沟通渠道。抓住这一机会,汽车行业就能搭建理想的沟通平台,为整个汽车生命周期提供可视性和透明度。许多人都认为供应链各方的沟通是挑战,但行业中网络安全的进步带来了激动人心的机会,汽车行业可以比以往更具协作性、沟通性和安全性。