欧盟最新汽车标准首次将网络安全置于优先位置

新闻
10小时前
本文关键看点:

#01

如果制造商希望明年在欧洲销售新车,不仅必须遵守更新后的排放标准,还必须首次将网络安全置于优先位置。


#02

网络安全被纳入此次标准可能与 2015年的“柴油门”丑闻有关,当时大众被指控安装软件伪造排放和燃油效率测试结果。


#03

汽车制造商必须“证明”他们进行了全面的风险和威胁分析,以减轻漏洞,防止未经授权访问车辆或通信系统。


本文内容由AI工具翻译生成,可能存在语义偏差,请以原文为准。


以下为正文


如果汽车制造商希望在明年继续在欧洲销售新车,他们不仅需要满足更新后的排放标准,还必须首次将网络安全作为优先事项。

欧盟最新发布的排放标准被称为 Euro 7,该标准为所有汽油、柴油以及电动车辆制定了新的或更新后的监管要求,这是欧盟推进“零污染”目标的重要组成部分。自2024年正式发布以来,各项实施期限正在迅速临近;欧盟计划从今年11月开始分阶段执行Euro 7标准。

在一系列排放与尾气限制、空气质量目标以及环境数据报告要求之外,新规还加入了一整套网络安全相关要求。这些措施的重点在于防止系统被篡改,并保护敏感数据——尤其是在道路上电动汽车数量不断增加、甚至部分车辆可能没有人类驾驶员的背景下。

1773304031460118.png

欧盟要求汽车制造商通过网络安全措施“确保与排放和电池耐久性相关数据的安全传输”。这包括在整个产品生命周期内获得安全认证,涵盖风险评估、威胁缓解以及安全软件开发等方面。

在Euro 7文件中,监管机构警告称,“通过篡改车辆以移除或停用污染控制系统组件是一个广为人知的问题”。此外,文件还指出,里程表篡改可能“导致虚假的行驶里程数据”,并“妨碍车辆在使用阶段的正常监管”。

专家普遍认为,将网络安全条款纳入欧盟车辆排放指令仍然是相对较新的做法,这也反映出当前汽车行业正面临快速变化的技术环境与威胁格局。

01-篡改问题的隐患


将网络安全纳入Euro 7标准,某种程度上可能与2015年的“柴油门”(Dieselgate)事件有关。当时,大众汽车被指控安装软件以伪造排放和燃油效率测试结果。然而,更重要的是,这一变化体现了欧洲排放标准持续升级的趋势。NCC Group管理安全顾问 Liz James 博士表示。

在此前的排放指令中,网络安全要求并没有被明确提出。James补充说,如今对车辆生命周期排放数据进行精准测量这一目标本身也面临网络威胁。这就引出了一个关键问题:监管机构如何获取这些数据,并确保它们不会被篡改或修改?

为了减少污染,欧盟需要一种更加高效的方式来跟踪和管理排放情况,而这意味着必须依赖可信的数据。James解释说,Euro 7的意义之一就在于建立一个框架,以确保行业对排放数据负责。

数据篡改一直是监管层的长期担忧,而现在Euro 7将这一问题与 联合国第555号法规(UN Regulation No. 555) 中关于网络安全管理系统的要求相结合。该法规旨在为车辆审批建立统一标准。汽车制造商必须“证明”他们已经进行了全面的风险和威胁分析,以减轻漏洞风险并防止未经授权访问车辆或通信系统。

James指出:“如果企业想符合这些排放标准,就必须明确证明这些威胁已经得到管理。”

如果监管机构希望真正降低排放,其中一个潜在阻力来自制造商自身——因为排放管理正是由这些企业负责的。James认为,核心问题在于帮助监管机构在面对众多汽车制造商的情况下,仍然能够确保数据的真实性,因为这些企业本身可能存在修改或操纵数据的动机。

她表示:“如果不同制造商之间出现巨大的差异,现在监管机构就有能力提出疑问:这是因为他们确实生产了更高效的系统,还是存在可疑行为?”

02-如果威胁真的发生会怎样?


如今,汽车系统正变得越来越互联化、先进化,并高度依赖软件,而软件不可避免地会存在漏洞。如果制造商未能有效缓解这些漏洞,威胁行为者就可能入侵车辆系统。纽约大学机械与航空航天工程系教授 Nikhil Gupta 发出警告。

黑客可能会入侵车辆的GPS系统,从而获取敏感的位置数据;如果车辆系统中存储了金融信息,还可能引发数据盗窃或金融诈骗问题。Gupta指出,许多车载服务目前采用订阅模式运行,“在这些场景中,网络安全同样至关重要”。

汽车制造平台本身也是高度集成的系统,而这种集成性恰恰是最大的风险来源之一。Gupta解释说,一款车型的软件往往来自不同供应商,而系统集成过程并不总是顺利。此外,只要其中一个软件组件存在漏洞,就可能影响整个供应链。

汽车企业还必须关注由软件控制的关键零部件。这意味着黑客可能操控刹车系统,从而导致硬件故障。

Gupta表示:“如何构建一个可信的系统?这才是问题的核心。”

03-行业会反对这些新规吗?


尽管网络安全措施对于欧盟排放监管而言是相对较新的要求,但专家普遍认为其实施难度不会太高。特别是考虑到软件层面的网络安全要求实际上早已存在。

Gupta再次强调,企业主要担心的仍然是系统集成问题。不同供应商会为各自的软件组件构建安全机制,但最终汽车制造商必须将所有组件整合在一起。他指出,系统集成可能是实施过程中需要额外时间的关键环节。

Gupta表示:“唯一的担忧是:我们能否按时完成这些要求?但网络安全是所有企业都面临的问题,因此我不认为行业会对此产生强烈抵触。”

事实上,汽车制造商在生产车间已经面临大量网络安全威胁,因此网络安全问题早已在企业关注范围内。现在,只是将这些要求更加正式地纳入自动化系统监管框架中。

James也认为,Euro 7的一些要求对企业来说并不难以遵守,因为监管并没有规定“必须如何具体实施防护”,而是要求企业“以适当方式管理风险”。不过,对于那些在Euro 7发布之前几乎没有开展相关安全工作的制造商来说,这些要求仍然可能带来挑战。

James指出,实施这些措施需要一定的成熟度。一些大型排放设备或重型车辆制造商可能准备不足。

她表示:“很多企业其实已经在做其中的一部分,只是需要弄清楚哪些内容是真正新增的要求。现实情况是,我们并不希望阻碍企业生产,而是希望通过激励正确的行为,推动整个行业走向更成熟的发展阶段。”