前路危機四伏 汽車數據小心

VicOne 2023 年汽車網路資安報告

November 15, 2023
LOADING...

2023年汽車網路資安報告將聚焦在汽車數據生態系統,這個生態系統中流動的數據和資訊類型,它們帶來的挑戰,以及它們引發的風險。分析趨勢科技全球網路資安威脅研究(Trend Research)對汽車數據的研究結果,和彙整VicOne對今年以來通報事件的回顧與評論,以便全面解析汽車產業未來的發展趨勢,以及如何更好地為明年和未來定位汽車網路安全策略

梳理汽車數據生態系統的複雜關係

汽車數據生態系統

汽車數據生態系統

汽車數據生態系統是一個龐大的汽車產業實體網路,這些實體之間通過數據資料彼此溝通互聯。這些實體包括車輛、製造商(OEMs)一級供應商(T1)和二級供應商(T2)、資料仲介機構以及資料消費者。汽車數據生態系統不僅僅局限於OEMs和T1/T2供應商,還涵蓋了更廣泛的領域,包括消費者、第三方服務供應商以及新興應用和產品。

在這個生態系統中,車輛已經不只是資料的產出者,它同時也變成大量資料的消費者和傳輸者。 因此,車輛必須作為複雜的資料中心來考慮和處理。

事實上,在Trend Research為VicOne撰寫的「汽車數據:連網汽車領域的機會、變現盈利和網路安全威脅」一文中,這個生態系統的龐大規模本身就是一個重大發現。

從汽車數據中萃取價值

為了更好去理解廣泛的汽車資料生態系統的影響,我們必須了解這個相互連接實體網路中資訊流的各種類別。 為此,我們在報告中含括了一系列資料類別和資料欄位,例如位置 (GPS)、引擎、燃油、電池、駕駛人行為、診斷故障碼 (DTC) 和輪胎壓力監測 (TPM) 。

查看汽車數據架構圖

另外,我們還討論了產生這些類別的資料搜尋方法。 VicOne研究人員詳細闡述了在趨勢科技遙測資料中車輛與 OEM/T1/T2 各自雲之間的API 呼叫服務請求、公共 MQTT(訊息佇列遙測傳輸)伺服器上的車輛數據資料外洩實例以及其他現實世界發生的例子。

當數據可以用來發現新的見解時,它才真正變得有價值。我們從汽車資料中發現價值這一點,從使用汽車產業甚至其他產業的資料欄位,透過不同組合來推論出更多資料類型並產生更好的見解中,可以得知。

Extrapolated Data

Combined Data Fields

Fuel efficiency

=

GPS

+

Engine

+

Fuel
consumption

Emissions analysis

=

Engine

+

Fuel

+

Driver
behavior

Optimal routing

=

GPS

+

Engine

Predictive maintenance

=

Engine

+

GPS

+

DTCs

Driver performance

=

GPS

+

Engine

+

Fuel

+

Braking

Electric vehicle range

=

Battery

+

GPS

+

Driver
behavior

Tire health status

=

Tire
pressure

+

TPM
warnings

Micro weather

=

Wipers

+

Braking

+

External
temperature

Parking analytics

=

Vehicle
status

+

GPS

Traffic predictor

=

Vehicle
performance

+

GPS

Vehicle security status

=

Doors

+

Trunk

+

Windows

+

GPS

從不同類型的車輛數據中推論出新的資訊

汽車產業可以從這些車輛分類資料中汲取見解並產生創新的商業模式。汽車產業甚至可以擴展到以數據驅動的產品和服務;這些產品和服務可延伸應用到銀行和物流等其他行業。

暴露汽車資料的網路安全風險

2023年汽車網路資安報告的主要目的之一是研究汽車資料生態系統對連網汽車安全的影響。汽車產業數據貨幣化的發展可以帶來更強勁的收入成長,但也可能誘發網路犯罪活動。 如果這些數據的貨幣化程度持續上升,帶來的收益更豐我們預計針對連網汽車的首次大規模攻擊將涉及數據。 不難想像,如果這些資料落入網路犯罪者手中,可能會帶來什麼樣的風險。

其中一個主要的擔憂便是駕駛人(車主)對這樣一個已然存在的複雜生態系統並沒有足夠的認知。這部分缺失的知識妨礙了他們對相關的數據的判斷與掌控力並可能導致他們的隱私暴露。使這個問題更加難解的,是目前的立法與法規並沒能充分處理車輛資料的使用和收集問題。

以下是我們關於改善汽車數據網路安全的建議:

  • 實施強而有力的資料保護措施。 隨著車輛變得更加先進,實施強有力的資料保護措施至關重要。
  • 通知車主/用戶。 OEM 和其他利害關係人應主動告知使用者資料收集實務、潛在風險以及如何保護其資料。
  • 保護車輛API安全。 API 是網路犯罪分子的常見存取點。 因此,保護車輛 API 應該是首要任務。
  • 規範資料收集和使用。 需要有明確的法規來管理車輛數據資料的收集、儲存和使用。
  • 開發安全中介軟體API。 API 的設計應考慮到安全性,包括強大的身份驗證和加密,以防止未經授權的資料存取。

汽車數據生態系統是汽車產業中一個廣泛且充滿活力的領域,也是解決網路安全漏洞的一個主要考慮因素。在這些數據帶來的創新與保護駕駛人的隱私和信任之間取得平衡,對於引領未來連網汽車發展至關重要。

來自 Trend Research 前瞻性威脅研究 (FTR) 團隊的 Numaan Huq、Vladimir Kropotov、Philippe Lin 和 Rainer Vosseler 在研究論文「汽車數據:連網汽車領域的機會、變現盈利和網路安全威脅」中探討了汽車數據生態系統及其深遠影響。

完整報告下載

2023年汽車網路資安報告亦將回顧與評論今年以來的相關車輛通報事件以全面了解汽車產業及其數據生態系統所面臨的風險、威脅和挑戰。