网络安全与软件定义汽车的发展

在许多汽车公司，同一个系统工程团队同时负责安全（safety）和安防（security）。因此，网络安全被视为安全（safety）的一个子集，其根源在于一个隐含的假设：“如果安全，就一定是可靠的。”

但情况并不总是如此。

正如业内众多首席信息和产品安全官所见，根据 ISO 26262 被视为功能安全的车辆可能极易受到网络威胁，尤其是随着联网汽车、软件定义架构和无线更新成为行业标准。

网络安全必须作为整个组织端到端的独立问题来处理。将其捆绑在传统的安全框架下，可能会严重低估网络弹性的重要性。

将安全与保障分离如何能增强 CISO/PSO 的能力，帮助原始设备制造商 (OEM) 或供应商更好地应对针对从车辆系统到供应链完整性等各个方面的数字威胁？

根据当今现实更新组织

尽管安全和安保是同一枚硬币的两面，但它们之间存在着根本的区别，这导致需要分离功能、明确所有权并加强安全和安保团队之间的协作——尤其是在产品开发的概念、设计和验证阶段。

安全是关于无意的故障和失误；而安保是关于故意的滥用和威胁。

它们是汽车行业不同要求和风险的不同概念，因此需要不同的标准和法规来解决。

例如，危害分析和风险评估 (HARA) 传统上用于根据ISO 26262等标准评估功能安全相关的危害，而威胁分析和风险评估 (TARA) 是 ISO 21434 要求的用于识别威胁的相应安全活动。

此外，网络安全和 ISO/SAE 21434 要求供应链安全，有助于保护隐私、数据和控制完整性。

然而，由于尚未出现大规模勒索软件或其他重大攻击，该行业在网络安全方面日益采取保守态度，将监管要求作为最低限度的可交付成果。

此外，还有其他看似更具策略性的问题需要解决（例如关税、供应链变化、原产国的新要求等），因此，在某些情况下，网络安全仍然处于优先级较低的位置，在需要在安全性和保障性之间做出权衡时，网络安全反而会被忽略。

业内大多数公司都维持着这样的组织设计：产品安全 (PS)、信息技术 (IT) 安全和运营技术 (OT) 安全三个团队分别负责安全工作。然而，PS 通常与 IT 和 OT 预算中心脱钩，并从安全预算中拨款。

然而，与此同时，汽车网络攻击面的规模和复杂性正在激增。在当今的软件定义汽车 (SDV) 中，网络威胁正蔓延至汽车内外的每个互联功能、网络层、区域控制器、操作系统以及车联网 (V2X) 连接。

OEM 董事会和高级管理层大多已经意识到，他们的组织不能再孤立地看待产品、IT 和 OT 安全领域，最先进的 OEM 和一级和二级供应商正在授权首席信息官让组织将网络安全视为 SDV 开发的关键组成部分。

最终，安全关键领域可以作为锚点，实施更好的网络安全态势。

分离安全性和保障性将有助于 OEM 向供应商提供明确的安全要求，通过强制执行特定于安全的验证文档、工件和资产（例如 TARA、软件物料清单 (SBOM)、加密物料清单 (CBOM) 和组件来源）。

此外，脱钩将有助于确保安全团队从安全和威胁的角度与供应商进行直接的技术讨论，从而更加关注实际能力的成熟度。这可以为共享安全解决方案和责任铺平道路。

助力 CIO/CISO 取得成功

虽然网络安全专业人员仍将深入各自的领域，但一个跨职能层正在兴起，旨在对所有车辆连接点（包括连接性、硬件和软件交付机制）提供监督和可视性。从网络安全的角度来看，该组织正在有效地合并三个安全领域，并将活动与安全分离。

这使得组织能够全面管理域级别的网络威胁，主动降低跨域风险，保持整个供应链的可视性，并根据需要实施工程、基础设施或配置变更。显然，贯穿安全团队的反馈循环必须以非常快速的迭代方式进行。

当然，这种组织转型绝非小事。它是一项浩大的工程，在大多数情况下，需要自上而下的指令才能成功。因此，董事会层面的教育是大多数首席信息官和首席信息安全官面临的首要任务。