汽车行业最危险的盲区:网络安全意识

近年来,汽车行业屡屡登上网络安全新闻头条:从本田、丰田遭遇勒索软件攻击,到波及几乎整个汽车行业的API数据泄露风险和汽车防盗系统漏洞,电动车充电基础设施的协议级和系统级漏洞,都给用户个人隐私乃至关键基础设施带来重大安全风险。

汽车行业的网络安全水平为何“一枝独秀”,近日Salesforce的一项调查报告给出了解释:汽车行业的人员安全意识大大低于各行业平均水平。

报告显示,多达30%的汽车员工在尝试新工具之前不会检查公司的安全协议。这可能会导致公司和客户数据面临风险。

汽车行业API攻击暴增

网络安全是汽车行业日益关注的关键问题,因为大数据正在成为联网汽车的新“引擎”,车企存储和使用的数据每年呈指数级增长。

根据Upstream的报告,仅去年一年,汽车行业的API攻击数量就暴增了380%。而且,在Salesforce的调查中,34%的汽车员工表示,与两年前相比他们的公司现在受到的安全威胁更多。

汽车行业员工敢于“吃螃蟹”

调查显示,42%的汽车行业员工已经尝试过在工作中使用生成式AI(例如ChatGPT),而医疗行业这一比例仅为15%,政府机构的比例为12%。显然,汽车行业从业人员对存在数据泄露风险的新技术应用有着更加开放和麻痹的心态。

随着汽车行业迈向软件定义汽车的数字驾驶时代,越来越多的车企采用新技术来数字化和个性化客户体验,这导致车企的数字资产和暴露面快速增长,对车辆、驾驶人员和乘客的敏感信息的保护也变得越来越重要。但调查显示,汽车行业自身的安全意识非常糟糕,还有很长的路要走:

  • 49%的汽车行业人员认为,可以在工作中使用像ChatGPT和DALL-E这样的生成式人工智能。
  • 50%的汽车行业人员表示他们个人不必担心工作中的安全问题。
  • 只有44%的汽车行业人员认为他们的联网设备(例如手机、笔记本电脑)存在网络安全风险。
  • 64%的从业人员从个人设备(例如手机、笔记本电脑)访问工作文档或系统。
  • 68%的从业人员认为,如果他们可以访问工作设备上的某些内容,那一定是安全的。
  • 63%的从业人员认为他们的个人设备与工作设备一样安全。

“随着汽车互联程度不断提高,汽车行业的运营将进一步数字化并产生更多数据,这将使该行业面临重大数据安全风险,”Salesforce汽车和制造高级副总裁兼总经理Achyut Jajoo表示:“重要的是,汽车行业员工要了解网络卫生的重要性,并采取积极主动的方法保护数据安全。”

汽车行业最危险的盲区:安全意识

调查显示,员工安全意识淡漠是汽车行业最大的数据安全黑洞。虽然72%的受访车企员工表示他们的企业有安全第一的文化,74%的受访者表示他们的企业拥有确保数据安全所需的工具,但有21%的受访者表示,(由于人员安全意识问题)公司的安全协议没有得到严格执行。

公司赞助的培训是缩小员工安全意识差距的主要行动方案。虽然大多数受访者(71%)表示他们的公司提供了数据安全所需的培训。但是,调查数据显示,很多培训本身需要进行改造,将安全性放在首位并在实践中发挥作用:

  • 20%的汽车行业员工认为安全培训没有价值,同样数量的人认为培训与其工作无关。
  • 26%的人不知道在发生网络攻击时该怎么办。
  • 29%的人在工作中不小心点击了可疑链接。
  • 35%的人使用相同的密码进行个人和与工作相关的账户登录。
  • 只有35%的人每次都使用多因素身份验证。
  • 20%的人从不使用VPN进行在线工作。

结论

汽车行业正在经历一场数字化革命,无论燃油汽车、电动汽车还是联网汽车和自动驾驶汽车,软件正在成为汽车行业的核心竞争力。

未来十年,全球汽车网络安全市场预计将创下21.7%的年增长率。这在很大程度上是因为网络安全在设计和制造现代车辆和车辆系统中的重要性日益增加。

Salesforce的调查报告表明,汽车行业网络安全目前面临的最严峻挑战不是缺乏安全工具和制度,而是人员安全意识淡漠。

最重视网络安全的汽车企业才有可能在未来十年成为全球市场的塑造者。也就是说,汽车网络安全首先是一个安全问题,其次还是一种竞争优势。而获取市场信任,打造竞争力的关键是塑造强大的安全文化,这需要借助有效的安全意识培训,而不仅仅是网络安全技术。

前一篇CISA零信任成熟度模型(译文)
后一篇谷歌将向Gmail用户提供暗网数据泄露报告