美国CISA发布自动驾驶汽车网络安全指南
2021-10-26
来源:互联网安全内参
该指南希望帮助交通系统部门的合作伙伴了解自动驾驶汽车相关的网络/物理风险,并探讨如何实施相应缓解策略。
近日,美国网络安全与基础设施安全局(CISA)发布了《自动驾驶车辆安全指南》,希望为交通系统部门的合作伙伴提供一套全面框架,用于了解自动地面车辆(AGV)的网络/物理威胁。
美国交通部(USDOT)估计,目前有80多家公司正在美国40个州和华盛顿特区测试自动驾驶车辆,超过一半的州已经推出立法,允许在公共道路上进行测试。然而,虽然自主地面车辆技术给组织和社区带来了好处,但也存在着对人员和资产的潜在威胁载体。
这份指南详细介绍了企业应如何根据特定攻击活动的相关向量、目标、后果与结果,准确识别出自动驾驶车辆风险。另外,指南还为概念化攻击序列和预测攻击效果制定了基线。
网络与基础设施安全局也在指南中提供了各相关方可以用于缓解网络风险的策略,具体建议包括:
上报网络/物理威胁与安全漏洞;
确保网络及系统的物理接入点安全可靠;
采用并实施系统安全指南、最佳实践与设计原则;
制定并实施内部威胁缓解计划;
避免将非制造商、不安全或未知设备接入车辆系统;以及
确保人员了解高级驾驶辅助系统(ADAS)。
网络与基础设施安全局表示,“与其他信息物理系统一样,对自动驾驶车辆的保护要求通过多层次方法评估相关威胁,例如专有数据泄露、运营中断或者资产(包括自动驾驶车辆自身)威胁等。而良好的组织弹性,也对物理安全与网络安全的彼此融合提出越来越高的要求。”
企业还必须优先考虑整个供应链上的沟通、协调与协作,借此改善组织运营并制定出更优战略,从而最大程度降低网络风险。
随着汽车行业不断开发并引入更先进的技术成果,地面车辆正在成为整个互连系统中的重要组成部分、甚至持续改变着我们的生活方式。这些突破性的汽车形态虽然带来诸多助益,但也给企业、人员和资产引入了新的潜在风险。
除了普及自动驾驶车辆保护中的各类风险缓解策略之外,组织还需要了解自身面对的威胁向量,为保障运营、自动驾驶车辆及消费者安全做好准备。