近三分之二(64%)的汽車行業領導者認為，他們的供應鏈容易受到網絡攻擊，許多企業沒有為互聯汽車時代做好充分準備。這是根據卡巴斯基對汽車行業至少1000名員工的大型企業C級決策者進行的200次采訪得出的最新研究結果。它揭示了汽車公司在生產的幾乎每個階段——從廠商到供應商——遭遇的廣泛攻擊。

信息娛樂系統及其連接，蘊含著最大的網絡安全問題

軟件提供商提供的信息娛樂系統和連接技術的整合是汽車行業面臨的最大供應鏈風險，根據汽車威脅情報報告，34%的受訪者將此列為他們最關心的網絡安全問題。連接程度越來越高的信息娛樂系統是許多驅動程序的主要賣點，但它們也帶來了一系列新的漏洞。

報告發現，人們對聯網汽車、軟件更新和車與車通信的擔憂巨大，被認為是未來兩年最大的汽車網絡安全挑戰。受訪者提到的最大攻擊擔憂是網絡釣魚、Wi-Fi/藍牙和勒索軟件攻擊。據卡巴斯基稱，在過去12個月里，Conti、LockBit和Have是汽車網絡攻擊中最常見的勒索軟件。

盡管認識到企業面臨的風險，但汽車高管似乎很難將威脅情報的真正影響與具體的業務運營聯系起來，近三分之一(29.5%)的受訪者表示，他們目前看不到網絡情報投資的價值，更重要的是，與解釋和理解網絡安全術語相關的持續問題加劇了高管的挑戰，研究發現，超過三分之一(35%)的受訪者表示，令人困惑的行業術語是更廣泛的管理團隊對網絡風險以及他們應該如何應對的整體理解能力的最大障礙。

新的汽車網絡安全法規即將出臺

從2024年7月起，UN155/156(由聯合國歐洲經濟委員會WP.29規定)將要求所有原始設備制造商(OEM)及其供應鏈包括多層網絡安全解決方案，以防御當前和未來的網絡攻擊，這是有史以來第一個在網絡安全方面要求車輛類型審批的法規，正在開發的車輛從開發和生產到客戶使用都需要遵守這些新法規，如果做不到這一點，可能會導致汽車生產被關閉。

然而，調查結果表明，汽車行業在很大程度上仍然落后，42%的受訪者表示，他們目前沒有在最后期限之前制定計劃，另有63.5%的受訪者表示，他們不太參與合規規劃，盡管64%的受訪者同意應對網絡威脅是一個戰略性的董事會問題，超過三分之二的受訪者表示，整個行業需要更多地了解這些標準的含義及其對企業的意義。

汽車網絡攻擊的附帶損害可能是嚴重的

卡巴斯基汽車研究主管克拉拉·伍德告訴記者，汽車供應鏈容易受到網絡攻擊，因為其固有的安全和可靠性要求，以及從分層的OEM網絡獲取的數據范圍，每個OEM帶來不同的組件。“相互通信的零部件數量之多，如果沒有得到適當的保護，就可以成為切入點。供應鏈的任何中斷或損害都可能產生嚴重后果，但就汽車而言，潛在的附帶損害可能非常嚴重，包括生命損失。”

伍德表示，隨著自動駕駛、互聯汽車、電動汽車和共享移動性等尖端功能和服務的引入，該行業迅速發展，很可能成為惡意行為者的重點目標。他們的動機可能各不相同，包括通過勒索軟件和知識產權盜竊等策略獲得經濟利益，破壞性攻擊，甚至純粹由惡意動機驅動的網絡攻擊。

保護汽車供應鏈需要分層、全面的方法

伍德說，在現代數字環境中保護汽車供應鏈需要分層、全面的方法。“過去，公司通常專注于保護他們的直接系統和網絡。然而，隨著互聯設備和數字通信的激增，這種方法已經不夠了。”

她補充說，網絡安全應該無縫地整合到運營的各個方面，以一種協作的方式，讓所有供應商、合作伙伴和利益相關者共享相同的網絡風險定義，并站在同一立場上，以確保他們都遵守最高的網絡安全標準。攻擊可能從鏈中的任何一點開始，來自任何供應商，無論多么小，因此主動審查合作伙伴網絡絕對至關重要。

培訓和提高認識計劃對于確保企業中的每個人以及外部合作伙伴了解網絡安全最佳實踐至關重要。此外，定制的威脅情報報告可以為來自黑暗網絡的新興威脅和特定于汽車行業的趨勢提供有價值的見解，使安全運營中心能夠更有效地保護其網絡。“在基本層面上，補丁管理、網絡分割和定期安全評估是不可替代的，它們為穩固的網絡安全戰略奠定了基礎。”伍德說。然后，可以通過持續監測供應鏈和制定明確的事件響應計劃來加強這一點，以便在發生安全漏洞時迅速有效地做出反應。