(一)建立相关准则
应定义并应用信息安全风险评估过程,建立并维护信息安全风险准则,包括风险接受准则、信息安全风险评估实施准则。
(二)识别风险来源
1.汽车企业风险主要来源
汽车企业风险的主要来源有以下几个方面:公司的涉密数据遭到泄漏,可能由于员工的违规或不当操作,也可能是因为外部入侵,甚至合作第三方是否尽到涉密数据保护义务也值得注意;汽车生产因安全事件导致中断,例如工控环境感染病毒或外部人员入侵,恶意停止设备运转等;安全合规问题使业务推进受阻,主要包括未达到行业信息安全标准无法上市,或违反跨境数据传输、个人隐私保护相关法规,面临较重处罚;公司研发过程或产品存在安全漏洞,这不仅涵盖已经上市的产品,也涉及供应链引发的产品安全漏洞和运营中的信息系统。
2.智能网联汽车风险来源
智能网联汽车的信息安全风险来源主要包括3个层面:
(1)系统安全
一方面是软件系统安全,随着软件在汽车占比的逐步提升,软件安全面临较大的风险挑战,如主机厂将软件安装包(APK)开放下载,容易受到黑客攻击;另一方面是硬件系统安全,对于自动驾驶和自动巡航系统,通过伪造障碍物,干扰毫米波雷达判断,从而逼停车辆或干扰车辆前进,或控制超声波设备发送与汽车相同周期和频率的超声波,干扰汽车等,一旦被攻击,将存在车辆安全事故风险。
(2)密钥安全
通常采用数据加密的方式实现保护数据隐私,一旦密钥被泄露,加密数据的安全性将荡然无存。例如,通过在远离汽车时录制汽车钥匙信号,实现一次性开门,以及分析解码后通过计算使误差永远在合理范围内,实现无限次开门。攻击者通过插桩调试获取控制信息后逆向分析,从而获取控制流程,并利用脚本通过蓝牙钥匙控制汽车。
(3)架构安全
汽车内部相对封闭的网络环境也存在可被攻击的缺口,对于外部攻击的防御能力较弱,如车载诊断系统(OBD)接口、面向媒体的系统传输(MOST)总线、控制器局域网络(CAN)总线、串行通讯网络(LIN)总线、胎压监测系统等。由于CAN总线采用明文通信的机制,如果能够深入到控制CAN 网络,就能够控制相关的电子控制单元(ECU),造成危险。
(三)分析评价信息安全风险
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。利用分析方法及工具分析风险发生后可能导致的潜在后果,分析风险实际发生的可能性,确定风险级别,将风险分析的结果与之前企业建立的准则相比较,为风险处置排序。
(四)信息安全风险评估过程留痕
汽车企业应保留有关信息安全风险评估过程的文件化信息。只有正确全面地了解风险后,才能在怎么控制风险这个问题上做出正确合理的判断,比如调动什么样的资源、付出什么样的代价、采取什么样的措施去控制、转移等。另外,信息安全建设需基于一定的实际,才能更好地规避风险。风险总是客观存在的,如何去规避,需要具体问题具体分析。
(五)建立信息安全目标
汽车企业应建立适宜的信息安全目标,通过管理评审对方针目标实现情况进行分析,输出对信息安全管理体系的改进建议。
