工业4.0的盲点：全球供应链的网络安全？

12.11.2021

作者：Lucian Cernat

来源：Ecipe

最近，我们听到很多关于在关键领域要确保全球供应链安全的必要性，汽车行业尤为明显。由于半导体元件的短缺，世界各地的汽车制造企业都在中断或减少生产。由于这种短缺可能不会那么快消失，行业专家和各国政府正在考虑各种应对措施，以解决汽车供应链的安全问题。半导体元件的短缺可能会导致另一种类型的安全问题：新闻报道指出，一些车企的部分车型将不具备所有现代、安全功能的特性（例如监测盲点的“智能”后视镜）。

越来越多的安全问题也影响了汽车的“软”组件安全性（如嵌入式软件），因为它们也是采购于复杂的全球汽车供应链。汽车行业是工业4.0革命的一个典型例子，涉及到复杂的全球供应链，以及对半导体和嵌入式软件不断增长的需求。

今天的汽车（未来的汽车更是如此）是“车轮上的计算机”。如今，汽车的嵌入式软件比飞机还多：波音787梦想客机只有大约600万行软件代码，而奔驰s级车有大约1亿行代码、100个电子控制单元和10个操作系统。预计到2030年，电子产品将占到新车成本的50%左右（特别是具有自动驾驶功能的电动汽车）。

汽车内的电子元件也会交互，存储并发送有关其性能和汽车关键功能参数的信息。这就是物联网(IoT)，工业4.0的关键技术之一。总体而言，未来几年物联网支出将呈指数级增长，大部分支出将用于嵌入式软件和服务。

潜在的严重风险和重大网络安全挑战，也引发了物联网相关软件的显著增长。现今你的车会有多个嵌入式软件，如果其中一个容易受到网络黑客的攻击，那么你的生命可能会有危险。2015年由两名研究人员发起的著名的Jeep大切诺基黑客攻击已经表明，汽车全球供应链复杂，找到众多供应商中提供的电子元件中某个漏洞，汽车就可以通过物联网功能被远程控制。这个例子并不是唯一的，如果类似风险成倍增加，那么这将接近一个传统意义上的国家安全的系统问题。仅仅一个汽车部件的网络安全出现了漏洞，可能会让整个车队被远程控制。一个小的漏洞很容易变成一个“大黑客”。

确保全球汽车供应链安全：网络崩溃测试标准的必要性

随着嵌入式电子器件成为关键部件，它们在未来可能成为汽车行业的“阿喀琉斯之轮”。这不仅仅是汽车行业的问题，尽管不断努力和进步，行业专家认为，世界上绝大多数物联网系统还没有网络防护。埃森哲的数据显示，在过去5年里，安全漏洞增加了67%。专家还建议，企业需要同时考虑硬件和软件的网络防护。这种双重网络安全挑战源于这样一个事实：电子产品供应链中的硬件-软件界限正在消失。

虽然汽车行业正在努力对其嵌入式电子元件进行网络崩溃测试，但仅靠这些努力可能还不够。负责产品安全和监管合规的国家监管机构认为有必要涵盖汽车网络安全。由于其日益增长的重要性和潜在的漏洞，汽车嵌入式软件需要根据欧盟、美国和亚洲的多个行业标准进行认证和监管。业内专家认为，全球价值链的采购决策和关键供应商的选择已经基于它们的网络安全资质。这给汽车制造商带来了双重挑战：它们不仅需要担心芯片和电子汽车零部件的供应，还需要确保全球生产链上的供应商遵守新的网络安全监管要求。

然而，不同标准和监管方法的扩散将使半导体和汽车制造商的日子更加艰难。例如，针对网络安全风险管理的新法规，如在联合国欧洲经济委员会(UNECE)主持下制定的法规，涉及此类风险，并将在包括欧盟、日本和韩国在内的许多主要汽车制造商中强制实施。与此同时，国际电工委员会（IEC）试图为物联网设备制定国际标准，要求半导体供应商保护其设备免受一系列网络攻击，如勒索软件和黑客攻击。国际标准组织（ISO）参与了这些工作，并为道路车辆的安全制定了若干ISO/IEC联合标准，这些标准也适用于软件安全要求。

这些新的网络安全标准对企业提出了新的要求，以降低其全球价值链上的网络风险，确保没有供应商在复杂的全球供应链中成为薄弱的“网络环节”。这些监管努力是受欢迎的，但它们可能会产生重要的贸易影响：在网络安全标准和认证要求方面缺乏监管合作，可能会成为21世纪最大的非关税壁垒之一。

政策制定者能做什么？

汽车供应链中网络安全的未来，将在很大程度上取决于企业界和新技术解决方案的发展，而这些新技术页是它们适应这些颠覆性技术的一部分。然而，仅靠业界并不总是能选择最佳的网络解决方案。在最佳行业标准或各种标准和产品之间的互操作性需求方面，仍然缺乏国际共识。这可能会导致复杂的技术拼凑，隐藏潜在的安全盲点，最终损害消费者的利益。

网络安全的多重要求和监管方面也往往相当繁杂。据业内人士估计，为满足这些要求而对所有嵌入式软件和电子设备进行整合、测试、验证和确认的成本，可以轻松达到生产成本的40%（从开发开始到生产开始）。为了降低这些高昂的合规成本并确保最佳的网络安全结果，各国际标准制定组织之间加强合作将是一个合理的前进方向。随着嵌入式软件将继续“侵蚀”汽车行业，作为贸易政策的一部分，还需要加强监管合作，以确保对日益增长的网络安全威胁做出充分回应。

促进先进的行业标准成为全球供应链的一部分，也可以通过贸易协定中强有力的规则来推动。例如，欧盟-韩国自由贸易协定的机动车附件引入了承认国际标准等效性的义务，这涵盖了广泛的问题（如排放、轮胎、发动机功率、安全标准），并降低了汽车制造商的测试和合格评估的成本。该附件还包括承诺将这些监管合作规则应用于新标准。其他更近期的欧盟自贸协定（如CETA）也包含旨在促进监管合作和国际汽车标准的贸易规则。

在这些成功的基础上，最近的欧盟贸易政策审查表明，欧盟致力于在一系列对全球供应链的未来至关重要的问题上加强与相关伙伴的监管合作。网络安全显然是这些关键方面之一。过去，我们曾设法与我们的贸易伙伴就汽车防盗和门锁标准达成一致，现在是在网络安全方面进行合作的时候了！