WICV2020 | 安永Matthias Bandemer：车联网的网络安全

11月11-13日，“2020世界智能网联汽车大会（WICV2020）”在北京隆重召开，本次大会由北京市人民政府、工业和信息化部、公安部、交通运输部、中国科学技术协会共同主办。旨在打造全球智能网联汽车领域内规模最大、级别最高、影响力最大的世界级平台，持续引领全球汽车产业发展趋势，全面开启智能网联汽车产业发展的新征程。下面是安永全球汽车领域信息安全主管合伙人Matthias Bandemer在本次论坛上的发言：

安永全球汽车领域信息安全主管合伙人 Matthias Bandemer

女士们，先生们，大家下午好，我现在位于慕尼黑的EY网站空间，感谢主办方邀请我参加“世界智能网联汽车大会”，很高兴能有与大家沟通交流的契机。我是EY公司的Matthias Bandemer，在网络安全咨询方面有25年的经验，现在在EMEIA负责汽车网络安全。我目前在慕尼黑工作 曾与全球大型汽车公司合作，以解决复杂的信息安全问题。

EY在网络安全和汽车行业的业务遍布全球，我们有7000多位优秀的信息安全专家，为全球150多个国家/地区提供着服务。我们帮助客户建立和改善其信息安全、IT安全、供应链网络安全、车辆IT安全、制造厂和车间安全，以及处理客户数据。我们与客户一起应对不断变化的网络安全威胁，并增强关键基础架构抵御网络攻击的能力。

汽车将成为超级互联生态系统的一部分，车辆将不仅连接到原始设备制造商的后端和云端

自动驾驶汽车还将与电力供应商、汽车共享公司、保险公司，当然还有客户建立联系，这都将创建大量数据。5G是实现超级连接和完全云化智能网络的推动力，过去是4G网络 每次只有一个无线电连接，现在使用5G，低延迟，可以同时进行多个连接。

在4G网络中，机器流量和最终用户流量不是一个网络。现在有了5G 可以将网络切成不同的部分，以满足不同的需求。4G是迈向云的第一步，5G完全云化的应用可以赋能联网汽车、自动驾驶和为自动驾驶终端用户提供联网驾驶体验。未来的一个巨大趋势是数字化转型。数字化转型将全部基于新技术，如人工智能、云计算、互联、物联网或量子计算等。这些新技术都面临着网络威胁，因此，也就是说AI模型可能会中毒。

我们最近也看到了由AI驱动的，复杂的网络攻击，物联网设备也易受攻击。在大多数情况下，设备被攻击后无法在复原和修补。我们在看到5G兴起的同时，也看到了很多互联机会和大量的潜在威胁。将来量子计算将代替现在的加密，因此，数据量将大到管理不过来，法律法规也会更复杂。而且，我们现有的，已采取的传统网络安全措施将失效。

在赋能新场景方面，例如联网汽车、自动驾驶、智能移动，为了在保护这些新场景，网络安全是一大关键。网联汽车与物联网有着诸多方面的联系，汽车就是一个可以每小时行驶200公里的物体，我们将看到很多为网联汽车增光添彩的功能和事物，例如为汽车司机或乘客提供的车载体验。自动驾驶、高级导航、客户参与和思维，您可以通过联网汽车了解到客户的更多信息，远程信息处理和预测服务。例如维修保养预测，什么时候该做汽车维修/保养了。另外一个很重要的功能是OTA（跨区域）更新。你自己将来可以修理汽车，做软件更新，就像我们在IT系统或iPhone上更新一样，但更新不能在汽车行驶时进行。所以说，网联汽车和物联网有很多安全问题需要考虑。

要建立安全的生产过程，设置软件的安全加载和配置，安全性管理包括设备验证、数据安全

设备与移动应用程序的融合。汽车的销户以及汽车主人变了之后，汽车的重新投入使用，所有这些都属于网联汽车的范畴。监管即将到来，汽车制造商必须考虑这些。因此在网联汽车的整个生命周期中纳入安全性，对于应对新IoT系统的威胁至关重要。

物联网正处于成长之中，2018年有230亿台联网设备，到2025年将增加到750亿台联网设备，这一点很重要。从网络的角度来看，有大约25%的网络攻击是针对物联网的，但只有10%的网络安全预算是用于保护物联网的，所以差距显而易见。物联网袭击从2018年的1200万起增加到2019年的1.05亿起，一辆联网汽车每月面临约30万次攻击，现在如何解决这个问题？需要从不同的维度去解决。

首先，需要在技术层解决。其次在组织层解决。

在安全概念里，首先要识别设备，例如汽车和汽车内的通信内容。其次是汽车的使用，确保通信正确，确保是正确的用户在进行安全的通信。另一方面需要执行正确的规则，为汽车和网络的应用程序制定访问规则，包括车内网络、汽车之间的网络，还有云之类的。然后需要控制对后端的访问，对应用程序、整个连接、对机器学习，对人工智能系统的访问。这些都需要保护，这不是做做样子的。因此，需要一个能够动态应对网络攻击的安全概念。

静态策略不再正确，大家需要了解发生了什么，并立即阻止恶意访问，这是我们需要在汽车、云后端以及网络中实施的，这是技术层面。在组织层面，我们看到许多监管即将出，例如UAECE网络安全法规 如供应链安全的T-CS和即将在世界所有地区实施的关键基础设施保护法。为了管理所有这些法规，还需要一个集成的管理系统，会非常复杂。我们可以为您提供一个框架，将所有这些放在一个框架内。在单一系统中，创建网络安全、风险管理和合规性，符合所有技术和组织层面的要求。

我希望大家喜欢我的演讲，如果大家有任何问题，都可以通过屏幕上的电子邮件联系我。非常感谢大家的聆听，希望大家度过愉快的一天。

（注：本文根据现场速记整理，未经演讲嘉宾审阅，仅作为参考资料，请勿转载！）