趨勢科技執行長陳怡樺(圖左)和子公司VicOne執行長鄭奕立(圖右)表示,VicOne鎖定電動車資安,確保車連網以及汽車供應鏈軟體的安全。

圖片來源: 

黃彥棻攝

資安的範疇很廣,除了傳統的IT系統外,資安關注的焦點也延伸到工控資安,但近期隨著電動車逐漸普及,甚至電動車資安也成為一門新興資安學科。身為老牌資安公司的趨勢科技也深知,要專注每一個不同領域的資安是很大的挑戰,該公司共同創辦人兼執行長陳怡樺表示,成立VicOne的目的就是希望臺灣所有電動車供應鏈的軟體都可以安全通過認證,成為汽車安全供應鏈的一環。

VicOne執行長鄭奕立則指出, VicOne要做全世界車連網的資安生意,運作模式則會以臺灣為研發總部,負責所有亞洲市場,並鎖定全球汽車車廠做OEM和供應鏈的生意,同時會在日本、德國和美國等全球三大汽車供應鏈聚落打造相關合作團隊。

鄭奕立也表示,目前VicOne成員有50人,會持續招募汽車的專業人員,未來招募目標為一百人,該公司未來開發的產品,會把核心程式拿出來和其他產品團隊整合,子公司VicOne和母公司趨勢科技彼此也會有OEM的合作,若目前趨勢科技中全職從事汽車資安的員工,則會成為VicOne的員工。

趨勢科技打造電動車資安子公司

陳怡樺表示,趨勢科技早在五年前就開始投入電動車資安領域,一臺電動車就超過一億行的程式碼,也是波音747程式碼的七倍之多,如同一個大型的資料中心。可以想見,相關的資安問題一定是多如牛毛。

但趨勢科技即便有涉獵電動車資安領域,但她說,一直到製造大廠鴻海科技推出電動車開放平臺(Mobility In Harmony Open EV Platform,MIH)後,電動車的控制軟體成為汽車供應鏈的一環,這意味著,所有的電動車業者都必須解決隨之而來的資安問題,此時,趨勢科技便思考如何將電動車控制軟體正式納入汽車供應鏈安全軟體認證中。

陳怡樺也坦言,電動車資安是特定產業領域,動用趨勢科技資源投入電動車資安,的確是大樹底下好乘涼,「但這樣就長不出另外一棵資安的大樹,」所以陳怡樺決定成立ViCOne子公司,專注電動車資安的特定產業領域。

軟體定義汽車將面臨複雜的資安議題

鄭奕立在趨勢科技原本就是負責核心科技的負責人,也是該公司最早涉入電動車資安研究的研發團隊。他指出,趨勢科技在2015年就開始投入研究汽車安全,2018年則做產品測試,而2019年~2020年電動車大受市場歡迎、成為電動車起飛的關鍵時刻。

聯合國歐洲經濟委員會在交通系統部門的工作組「世界車輛法規協調論壇」(WP.29)也於2020年頒布「車輛網路安全」和「軟體更新」兩項針對車連網和智慧汽車遭遇資安威脅時,都必須符合R155和R156的新規定,並規定於2021年1月後,不管是整車或零組件銷售往歐盟市場的電動車或車連網產品的軟體應用程式到雲端運作流程,都必須通過相關規範。

加上,2021年,隨著5G連網普及帶動車連網的普及,這也讓外界更重視車連網資安,畢竟,根據研究資料統計,到2030年,30%的汽車都會是電動車,其中,95%的電動車都會連網,「車連網背後是巨大的網路,一旦是由軟體定義汽車網路,就會面臨到許多棘手的資安問題。」他說。

駭客已可鎖定汽車工廠植入勒索軟體

回顧過去,日本最大汽車供應鏈先前曾經遭到勒索軟體攻擊,導致工廠無法生產。鄭奕立坦言,從先前案例可以發現,駭客可以在車廠植入勒索軟體,這表示駭客已經可以進到公司IT和OT的作業環境,他說:「當駭客也可以進到開發者環境時,就可以把勒索軟體加在車廠供應鏈常見的軟體中,更容易達到控制車連網的目標,這就像是駭客可以進入智慧汽車程式的開發環境中,再將惡意程式塞進正常的程式中一樣。」

另外,像是德國青年發現電動車Tesla的漏洞,可以遠端遙控電動車,鄭奕立認為,從這樣案例也可以發現一個資安趨勢,那就是一旦青少年可以輕易執行惡意程式攻擊,這也會造成更嚴重的It或OT系統環境的網路犯罪。畢竟,駭客已經具備攻擊車連網的技術和手法,但車連網不只看資安,更重要是攻擊介面,也就是整個汽車供應鏈體系是否也同樣安全。

車連網資安要做到Secure by Design

鄭奕立表示,VicOne做全球汽車供應鏈的生意,商業模式主要分成三類,包括:傳統軟體模式、提供SaaS雲端服務,以及供應鏈商業模式,而臺灣專精汽車供應鏈部分,日本、德國和美國則同時和在地汽車代工業者以及供應鏈業者合作。

他表示,車連網資安的原則就是要做到設計即安全(Secure by Design),車廠對於防禦和保護都有一定的SOP,當汽車供應鏈元件安裝到車子的過程中,因為沒有老舊資安漏洞存在,除了要做車連網的資安滲透測試外,當汽車軟體漏到遭到駭客利用攻擊時,車廠還可以透過OTA軟體更新模式進行虛擬修補,確保汽車資安達到安全標準。「但假若駭客鎖定攻擊整個汽車供應鏈安全時,可能會危害整個汽車產業的存在。」他說。

VicOne也針對車連網資安提供五大類的解決方案,首先,惡意程式偵測:從檢視供應鏈SOP到車子上路的所有流程,都要偵測是否有惡意程式在內;其次,On Board Security:針對電子控制元件(ECU)或是單晶片系統(SoC)提供保護技術,防範新攻擊手法;第三,滲透測試服務(Pentest as a service),類似現在針對COVID-19要做快篩確認是否染疫,會委由第三方做滲透測試;第四則是Secure OTA,當發現汽車有資安漏洞時,可以透過即時線上更新(OTA)方式進行虛擬修補
最後,Vehicle SOC(汽車資安監控中心,V-SOC)則監控是否有新的車用資安攻擊事件要處理。

他表示,汽車未來就是電子和軟體的組合,臺灣電子產業具備很強的研發能力,但要論及汽車資安,以V-SOC和On Board Security為例,就非常考驗資安業者對威脅情資的掌握度,能否掌握駭客的攻擊手法。

MIH開放電動車聯盟執行長鄭顯聰表示,MIH全球有很多供應鏈和代工合作夥伴,最大的價值就是進入汽車產業,選出優秀廠商模組化,為電動車平臺加分。他說,為了MIH未來發展,必須做好車連網資安,就必須支持VicOne做電動車資安、成為電動車界的莫德納。

Arm臺灣總裁曾志光表示,軟體定義汽車是中控臺連接雲的架構,為了把軟體定義好,去年也推出開源軟體框架(SOAFEE),提供汽車業者一個在雲端開發和測試平臺,這也讓MIH(電動車開放平臺)可以讓更多汽車供應鏈業者加入。他說,去年Arm發表第九代指令集,主要是強化安全的重要性,未來資安問題會是汽車發展的關鍵要素。


熱門新聞

Advertisement