汽车行业工业物联网 实施迅速，保护滞后 IBM 商业价值研究院 对标分析报告 汽车行业 本报告亮点 汽车行业工业物联网 (IIoT) 的网络安全风险与采用进展情况 表现出众的企业在保护 IIoT 安全环境方面展现出三大独特的优势 九项重要的网络安全实践 IBM 的能力 如今，车辆正逐渐从一种交通工具转变为新型的移动数据中心，车载传感器和计算机能够即时捕获有关车辆的信息。利用此类实时数据，IBM 可以帮助汽车制造业的高管提供全新的服务，满足互联互通时代的消费者对于车辆体验的新要求和期望。我们既拥有丰富的制造业经验，也具备深厚的全球汽车行业专业知识，可以帮助消除消费者对安全和质量的顾虑。通过使用 Watson 等创新技术，我们可以满足汽车制造商 (OEM) 和供应商的各种需求，提供更安全可靠的产品和服务，从而实现更高的品牌忠诚度和客户满意度。敬请访问：ibm.com/industries/automotive。 智能工业物联网的网络安全 互联自主驾驶汽车的安全问题备受关注。但企业更应当专注于基本层面，即用于制造汽车以及科技含量日益提升的零部件的工业系统。如果在没有实施有效的网络安全措施的情况下，匆忙上马“智能工业物联网”，会让整个企业处于风险之中。IBM 商业价值研究院 (IBV) 的一项调研表明，87% 的汽车企业在工厂和装配线上实施了工业物联网 (IIoT) 技术，但没有充分评估风险或准备有效的应对措施。汽车企业需要提升网络安全能力，能够以认知方式自动适应所处环境，持续发现、缓解和预防风险。 危机四伏 随着工业物联网技术的实施，制造设备和流程变得越来越智能化和自动化，但企业所面临的网络攻击风险也与日俱增。网络入侵可能来自于网络黑客、竞争对手、进行商业间谍活动的国家或地区，或者是心怀不满的员工，这都可能导致大量设备损坏、关键数据丢失、企业声誉受损甚至人身安全受到威胁。 在 IBV 调研“加速车辆信息安全：赢得车辆完整性和数据隐私竞争”中，我们介绍了“设计、制造、驾驶”信息安全方法（见图 1）。1 这种方法中的“制造安全的汽车”阶段明确了控制生产环境的要求。 图 1 “设计、制造、驾驶”信息安全方法 来源：IBM 商业价值研究院分析 设计车辆信息安全制造安全的汽车持续反馈  为应对故障而设计 设计安全的汽车 设计安全的基础架构 建立可信的供应链 控制生产环境 建立可信的分销渠道 放心驾驶  预防漏洞 检测可疑行为 通过妥善安全的恢复方式作出响应 可信系统 可信生态系统 可信生态系统 可信生态系统 汽车行业工业物联网 87% 的受访汽车企业正在部署 IIoT 技术，但未对风险进行全面评估 86% 的受访汽车企业没有定期进行 IIoT 网络安全评估 87% 的受访汽车企业没有正式制定 IIoT 网络安全计划 虽然工业物联网的实施有助于大幅提升运营效率，但如果没有得到适当保护，它们也会暴露出潜在的新安全隐患。无论是高价值的资产或服务、云端关键工作负载、信息物理融合系统中的流程控制系统，还是关键的业务和运营数据，任何事物都可能成为网络攻击的突破点。 为了更好地理解工业物联网的安全风险和影响，IBV 与牛津经济研究院合作，对 700 位最高层主管进行了调研。他们代表了 18 个国家或地区能源和工业领域的 700 家在工厂中实施了 IIoT 的企业（其中 135 家是汽车企业）。 机器/工业自动化是企业应用 IIoT 技术最多的领域，有 76% 的整车厂 (OEM) 和 84% 的供应商选择了这一项（见图 2）。58% 的 OEM 和 75% 的供应商表示他们具有自动化的工作流程应用。令人惊讶的是，预测性维护方面的应用并不像预期的那么多。 汽车企业似乎认识到了网络安全风险，并在一定程度上相应调整了 IIoT 支出（见图 3）。但他们并不清楚如何将多种 IIoT 网络安全能力（技能、控制、实践和保护技术）有机结合起来，以保护目前和未来的业务免受 IIoT 威胁。 图 2 IIoT 技术在汽车制造工厂和装配线上的前五大应用 OEM 供应商 机器/工业自动化 自动化工作流程 实时设备监控 资产/设备监控 预测性维护 来源: IBM 商业价值研究院对标分析调研，2018 年，n=135。 汽车行业工业物联网 图 3 IIoT 网络安全风险与支出推动因素对比 来源: IBM 商业价值研究院对标分析调研，2018 年，n=135。计数较低 (n<20) 在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。 敏感数据/保密数据泄露 保护敏感数据/保密数据 企业声誉受损 减少事件、事故和违规 破坏活动导致的生产中断 改进事件检测和响应 违反法规要求 保护知识产权 潜在的环境危害 遵守法规 OEM 供应商 5 项影响最大的汽车行业 IIoT 网络安全风险 汽车行业 IIoT 网络安全支出的 5 大推动因素 由于未能实施适当的网络安全保护措施，汽车企业将面临重大风险。特别是： 1. 敏感数据/保密数据泄露。受访高管认为这是他们面临的最大风险。72% 的 OEM 和 68% 的供应商敏锐地意识到，客户知识产权和高级工程设计等数据的泄露可能会对企业发展产生非常不利的影响。 2. 企业声誉受损，公众信心丧失。70% 的 OEM 和 65% 的供应商认为，安全漏洞可能会对汽车企业的形象和声誉造成巨大的负面影响。企业品牌的公信力和可信度很容易受到损害，业务和客户关系会遭到不可挽回的破坏。 3. 破坏活动导致生产中断。60% 的 OEM 和 53% 的供应商表示，这种风险非常巨大，可能会导致物理设备损坏、零部件报废或车辆产生缺陷。网络攻击者可能会入侵企业的工业系统并操纵网络基础设施（见插图：“对工业控制系统的攻击 — 简图”）。他们会修改机器软件程序或监视控制和数据采集系统 (SCADA)。 4. 违反法规要求。2018 年 5 月生效的《通用数据保护条例》(GDPR) 和类似法律增加了不合规的风险。51% 的 OEM 和 57% 的供应商表示，他们高度关注不合规的潜在影响以及由此可能导致的巨额罚款。 汽车行业工业物联网 5. 潜在的环境危害。52% 的 OEM 和 51% 的供应商高度关注当违反控制措施，有害物质被释放到环境中的情形。 从支出的角度来看，保护敏感数据是最重要的任务，67% 的 OEM 和 56% 的供应商将其列为 IIoT 网络安全预算的主要推动因素。超过 50% 的 OEM 和供应商还表示，减少事件、事故和违规是高优先级任务领域。 对工业控制系统的攻击 (ICS) 简图 2 利用系统中的零日漏洞，寻找对于攻击有用的信息。 一种远程访问工具，用于攻击各种工业目标，尤其是能源领域。利用四个零日漏洞，用于攻击工业可编程逻辑控制器。用于一项复杂的活动，目标是运行工业企业的人机接口产品的系统。利用一个大型电力公司的安全系统固件的零日漏洞。 表现出众的企业一马当先 我们发现了一组表现出众的企业，他们在保护 IIoT 环境方面处于领先地位（请参阅侧边栏“表现出众企业的数量”)。 虽然表现出众的企业在真正做到有效保护这些环境方面也有很长的路要走，但他们确实比同行企业更好地掌握了要领。47% 表现出众的企业已经创建了正式的网络安全计划，用于建立、管理和更新所需的 IIoT 网络安全工具、流程和技能，而其他汽车企业中只有 10% 做到了这一点（见图 4）。 图 4 理解 IIoT 网络安全并采用正式的网络安全计划 显著 正式采用 IIoT 网络安全计划 中等 正在评估 IIoT 风险 有限 对 IIoT 网络安全的理解有限 47% 表现出众的企业 10%* 其他汽车企业 53% 表现出众的企业 83% 其他汽车企业 0%* 表现出众的企业 8%* 其他汽车企业 来源: IBM 商业价值研究院对标分析调研，2018 年，表现出众的企业：n=76；其他汽车企业 n=115。计数较低 (n<20) 在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。注：本图和其他图中提及的“表现出众的企业”包括所有受访行业，其中有来自汽车行业的 20 家企业。提及的“其他汽车企业”包括另外 115 家汽车企业，不包含 20 家表现出众的企业。 表现出众企业的数量 我们所调研的各个行业中都有表现出众的企业，包括汽车业。在受访的 700 家企业中，有 76 家属于这一类，其中包括 20 家汽车企业。这组企业以下所有三个指标的表现都排名前四分之一： 1. 由安全技术措施解决的已知 IIoT 漏洞的百分比。 2. 发现和检测 IIoT 网络安全事件的周期时间。这排除了驻留时间（即成功入侵和发现入侵之间的时间）。 3. 应对 IIoT 网络安全事件并从中恢复的周期时间。 出于本次调研的目的，提及的“表现出众的企业”涵盖所有受访行业，包括来自汽车行业的 20 家企业。提及的“其他汽车企业”包括另外 115 家汽车企业，不包含 20 家表现出众的企业。 汽车行业工业物联网 表现出众的企业还以更快的速度将 IIoT 集成到业务和运营流程中（见图 5）。20% 表现出众的企业优化了 IIoT 网络安全功能并实现了效益，而其他汽车企业无一做到这一点。另外，5% 表现出众的企业实际上正在进行基于 IIoT 网络安全集成的创新。 图 5 IIoT 网络安全集成成熟度 表现出众的企业其他汽车企业 57% 投资 拥有战略和业务用例，IIoT 网络安全的部署正在进行中，价值正在实现 集成 拥有基础设施和流程，可以安全地提供新的 IIoT 产品/服务 优化 实现 IIoT 网络安全功能和效益 创新 实现永久性的改善，能够安全地利用新的 IIoT 推动的业务和运营商机 来源: IBM 商业价值研究院对标分析调研，2018 年，表现出众的企业：n=76；其他汽车企业 n=115。计数较低 (n<20) 在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。 的表现出众企业已经不仅仅是投资于网络安全 在使用网络安全解决方案保护数据和设备，以及使用自动化和认知技术检测和响应安全威胁方面，表现出众的企业在三个方面与其他企业有所区别（见图 6）。 图 6 表现出众企业的优势 保护整个 IIoT 生态系统中的数据 在整个生命周期中保护设备，确保安全系统保持最新状态 借助自动化和认知智能增强检测和响应能力 33% 表现出众的企业 19% 其他汽车企业 37% 表现出众的企业 29% 其他汽车企业 28% 表现出众的企业 17%* 其他汽车企业 来源: IBM 商业价值研究院对标分析调研，2018 年，表现出众的企业：n=76；其他汽车企业 n=115。计数较低 (n<20) 在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。 汽车行业工业物联网 保护整个 IIoT 生态系统中的数据。企业行业供应链中共享了大量的敏感数据和知识产权 (IP)。如果这些数据泄露或被盗，可能会将企业的未来业务置于风险中。值得注意的是，33% 表现出众的企业与 19% 的其他汽车企业在实施特定网络安全解决方案方面处于领先地位。 在整个生命周期中保护设备；实时更新安全系统。不受保护的传感器和设备会将操作技术 (OT)/IIoT 网络暴露在网络攻击之下，这可能会带来灾难性的实际损害和经济损失。37% 表现出众的企业能够充分保护其 IIoT 设备，相比之下，其他汽车企业中这一比例为 29%。 借助自动化和认知智能增强检测和响应能力。保护和预防并不能解决所有问题。企业必须部署适当的系统，用于检测漏洞和减轻损害。传统的检测系统旨