汽车研发管理的重要性，汽车从研发到量产的几个阶段

发文/ 张 鸥

编写/ 钱哑光

设计方案/ 师玉超

来源于/Gov Info Security 创作者：Soumik Ghosh

12月10日，德国汽车生产商volvo表明，该公司的一个信息库被第三方非法访问，危害者在侵入期内偷取了一部分产品研发材料。

volvo数据泄漏是对于汽车领域的全新一次黑客攻击。汽车生产商不但要绕开勒索软件等传统的方式的黑客攻击，还遭遇着远程控制信息资源管理技术性和连接网络汽车构件产生的危害。经营规模、所在位置和数以百计的节点转化成的大量数据也增多了安全防御的多元性。

汽车领域黑客攻击高发

研究表明，2020年汇报的网络安全问题超出200起，而2021年也出現了非常多的黑客攻击。

2021年2月，英国汽车业大佬起亚汽车汽车企业遭受了DoppelPaymer犯罪团伙的勒索软件进攻。依据技术性新闻媒体Bleeping Computer的一份汇报，该事情是一次双向敲诈勒索进攻，勒索软件犯罪团伙除开确保不泄漏数据外，还规定给予2000万元的揭秘密匙。

事情产生后，起亚汽车汽车遭受了全国的IT常见故障，其挪动应用软件、电話服务项目、支付平台、以用户为中心的网址和內部供应链管理应用软件陆续遭受危害。

6月，330万顾客的私人信息——包含9数十万大家和奥迪车顾客的比较敏感数据，在一次没经认证的第三方浏览后被曝出。数据调查报告，这种数据在21个月内也没有获得安全性保护。

据新闻平台The Record报导，10月，法国汽车零部件经销商Ebersp?cher集团公司遭受一次有目的性的黑客攻击使其IT系统偏瘫，以后迫不得已让职工带薪年假。

尽管大部分初期的进攻要不使企业的经营偏移路轨，要不危害到公司的供应链管理，但这一次volvo遭到的黑客攻击针对的是该公司的科学研究数据。

这一情况也再度引发了领域内有关局域网络延展性的探讨，尤其是紧紧围绕专利权的安全系数。

保证产品研发数据的安全性

“保护重要财产，如科学研究数据，在汽车那样一个高韧性的销售市场中尤其重要。”汽车技术性企业Synopsys Inc.的汽车手机软件和安全性解决方法系统架构师查尔斯·沃尔特斯（Chris Clark）说到，“生产商务必不断关心如何处理、储存和分享数据，以保护这种财产。”

法国的数据风险性保护企业CybelAngel的网络运营总监、法国国防部前安全性投资分析师宝琳·洛森（Pauline Losson）强调，根据勒索软件或数据偷盗危害产品研发数据或专利权有两个风险性：

一种风险是产品研发內容被分享到竞争者公司，这很有可能会毁坏很多年的分析项目投资；另一种风险性是网络黑客随时随地可以运用这种信息内容启动另一次进攻。假如她们对汽车手机软件有着更深层次的掌握，那麼汽车自身和全产业链终端的顾客也会受牵涉。

她讲，大部分数据泄漏事情全是因为产品研发数据被留到沒有保护设定的云空间、控制器或互联网额外储存设备上。由于在大部分状况下，根源通常被忽略。

为了更好地保护汽车或汽车零部件生产商的专利权，汽车夹层玻璃经销商Autoglass墨西哥总裁数据安全官斯伯里·特勒斯（William Telles）表明，企业需要再次加强密钥管理，以避免没经认证的浏览，查验合理合法浏览，与此同时还需要考虑到个人行为转变。只是用限定异常我国或IP浏览的技术性是绝对不够的。

他说道：“当合理合法真实身份失窃并被故意应用时，问题就产生了。为了避免这样的事情，公司务必健全真实身份和浏览管理方法，做为保护产品研发数据的第一步。”

供应链管理的多元性

洛森觉得，汽车领域供应链管理的深度广度和复杂度也是该领域的关键缺点，网络信息安全官务必与其它单位——购置、商品、营销推广和货运物流维持沟通交流，在网络信息安全层面能够更好地评定其合作方。

沃尔特斯说：“手机软件是自主创新的关键，近期的勒索软件和供应链管理进攻的浪潮表明，损伤的手机软件会对一个机构造成破坏性的危害。”

政府部门的网络信息安全行政命令和有关政策法规也很重要。网络信息安全企业Trustwave的网络信息安全军事家和咨询顾问hach尼·凯里（Harshini Carey）表明，维护保养手机软件库存量和财产目录对保护汽车企业的专利权也有非常大的协助。

下一代的安全防范措施

一些汽车安全性专业人士觉得，伴随着汽车智能化系统的发展趋势，车截信息科技和互连机器设备的发生也提升了受进攻的概率，因而传统式的IT保护方式，如网站渗透测试、软件生命周期管理方法和创建安全运营中心早已无法跟上了。

沃尔特斯说，针对制定更提升的內部安全运营中心和车截网络信息安全系统软件的关注在明显提高。

汽车安全运营中心（ASOC）早已开发设计很多年了。经营一个ASOC与运营一个传统式的IT安全性中心（IT SOC）有较大的不一样。如同汽车和航空公司网络信息安全企业Argus常说：“合理运作ASOC步骤必须不断完善和扩张汽车案例”。

这代表着汽车生产商将迫不得已随时随地加上新的数据源，并创立新的检验标准。ASOC遭遇着愈来愈多的试炼，包含经营规模和所在位置，及其管理方法数百万个终端设备的要求，每一个终端设备都是会造成很多的数据。这种全是传统式IT SOC不容易遭遇的问题。

Snatch勒索软件机构

回过头再讲一说volvo。尽管 Bleeping Computer和 AutoEvolution等好几家新闻媒体，Snatch勒索软件机构宣称对volvo汽车遭到的进攻承担，但volvo全世界公关部的梅尔哈威尔·哈布特（Merhawit Habte）说她们沒有联络过这一黑客联盟，都没有收到过它们的联络。

她表明，volvo已经与第三方权威专家协作，对该缺陷的调研也已经进行中。此外，她们也回绝表露此次事情的关键点。当被问到有多少产品研发数据失窃的调查报告，她们仅仅说“比较有限的总数”。