智慧運輸系統 (ITS) 與智慧車輛的威脅與風險

transport highway ITS intelligent system smart cars iot

今日的交通運輸系統不僅能讓我們從甲地移動到乙地,更能協助我們解決交通管理、資源分配的問題,以及城市發展對環境的衝擊。現在,交通運輸系統再也不單純只是一項移動工具,而是一種能夠陪伴、引導我們並提供客製化旅程的行動電腦。網路技術的結合使得交通運輸邁入了「智慧運輸系統」(Intelligent Transportation Systems,簡稱ITS) 的時代,藉由大數據分析來找出問題,解決都市塞車的問題。

根據研究機構 Counterpoint 預測,至 2022 年,內建連網能力的車輛將成長 270%,這還不包含已經導入網路並可連接使用者物聯網 (IoT) 裝置的車輛,而這一切將歸功於歐盟的 eCall 計畫。使用者對 ITS 的持續關注、5G 技術衍生的契機以及汽車相關產業 (如保險業與 OEM 製造業) 的其他商機,都被視為促進 ITS 普及的誘因。

此外,ITS 所帶來的基礎架構管理效率與大數據分析研究,再加上可事先預防各種損失:生命維修時間金錢以及資料,都讓其他各國紛紛開始導入 ITS 來將公共運輸基礎架構營運與管理自動化。

然而這些未來日益普及的技術並非完全沒有風險:小至一般駭客入侵,大至安全威脅財務損失。根據 2018 年 Ponemon Institute 所做的一項汽車產業流程研究指出,汽車產業所推行的網路資安計畫與實務,目前還無法跟上市場上這些連網車輛所使用的技術。無獨有偶,Consumer Watchdog 也在其發表的報告結論中指出,假使連網車輛在交通尖峰時間遭駭客入侵,是有可能導致如同 911 恐怖攻擊之規模的意外事件,此時無可避免地將帶來生命財產損失,並造成基礎架構損害。那麼,政府的都市計畫與開發單位該如何一方面確保都市發展的安全,另一方面又滿足智慧運輸的需求?

[延伸閱讀:Securing the industrial internet of things: Protecting energy, water and oil infrastructures]

ITS 框架

正如趨勢科技在一份報告中所指出,ITS 生態系需整合數個不同產業、元件與營運系統才能順利運作,但只要其中一個環節遭到威脅或攻擊,就可能波及其他相關產業,例如:從實體、網路或無線通訊層面的攻擊。設計和工程人員可藉由一個套用在 ITS 架構上的策略框架來將所有必要的技術細節視覺化,以方便建置。這其中共有六個可再細分的主要類別,分別對應架構內的主要功能:

  • 車輛:連網或自駕的交通運輸單元,通常內建無線區域網路 (wLAN) 來連接其他內部或外部 IoT 裝置,或者可自動導航並感應周遭環境,藉由攝影機、光學雷達 (LIDAR) 及 GPS 感應定位系統的協助,甚至不須人為輸入或操作。
  • 路況回報:通常透過攝影機、偵測系統、道路氣象站及各種感測器將資料即時傳送至中央監控中心,達到流量與路況即時監控,提升車流效率。
  • 車流控管:藉由交通號誌控制系統、鐵路柵欄、動態訊息號誌以及自動化收費系統來達成即時車流資料蒐集與道路監控。
  • 支付應用與系統:自動收費、管理,並且提高收入、降低其他相關成本,如:RFID 支付或標籤、自動收費亭、電子票證等等。
  • 管理應用與系統:負責管理各種功能偕同運作的中央系統,可監控車流或定義各種複雜的總量限制。該系統最起碼要能提供一定的控管能力來滿足流量管理中心、停車系統、水陸空運廠商管理、營造與維修中心、緊急服務中心、旅遊資訊、大眾運輸系統等等的需求。
  • 通訊應用與系統:資訊交換是 ITS 生態系的核心,所有營運中心和裝置都要彼此交換資料來共同確保交通流量的效率與安全,並且提高營收、減輕環境衝擊。這其中包含了:車對車 (V2V)、車對基礎架構 (V2I)、基礎架構對基礎架構 (I2I) 資訊交換,以及各種工具、媒體與系統,例如:應用程式、社群媒體、網站、警示通知、公告等等。

以下將詳細探討前述支付、管理、通訊三大應用與系統 (A&S) 類別所可能面臨的 ITS 威脅和風險。此外也將提出一些企業和消費者可遵循的最佳實務原則來保護 ITS 安全。

[延伸閱讀:The IoT attack surface: Threats and security solutions]

訂閱資安趨勢電子報

實體攻擊與風險

雖然在趨勢科技的威脅評估當中,實體攻擊的可能性最低,但實體攻擊對硬體設施可能帶來的損害卻足以造成巨大的財務損失與復原成本。ITS 硬體設施大多暴露在路邊或高速公路上,因此任何人都可觸及。歹徒可破壞硬體元件,例如暴露在外的連接埠、儀表、天線等等,造成資料無法上傳或回報。

另一個所有類型的車輛都可能遭遇的實體攻擊是透過所謂的控制器區域網路 (CAN 匯流排),這是一種絕大多數車輛都採用的標準,可讓不同裝置之間彼此互相控制和通訊,甚至不需透過一台中央電腦。CAN 匯流排的安全漏洞打從 2016 年起便有人開始研究,現在更進一步在尋找還有哪些其他裝置元件和技巧可用來入侵其他系統 (如智慧家庭與公共網路) 以滲透企業。

隨著共乘潮流的興起,一些實體大眾交通工具 (例如電動單車) 還可能遭遇其他問題,例如:使用者未正確歸還到停放站,或是技術和環境上的挑戰,還有電池相關和車輛毀損的問題。此外,連網車輛還有遭人篡改的疑慮,例如被不知名人士或信賴的人員安裝了額外的元件來駭入車輛或篡改里程表

[延伸閱讀:From homes to the office: Revisiting network security in the age of IoT]

圖 1:ITS 及相關威脅。

網路攻擊與風險

根據趨勢科技研究指出,日益興起的智慧城市與智慧運輸系統最大的威脅是針對 ITS 的網路攻擊。網路攻擊與威脅會瞄準裝置和設備的日常運作功能,造成服務中斷或導致資料外洩並竊取資訊。網路犯罪集團通常會使用惡意程式來散布其他惡意元件以癱瘓公共或民間服務機構,例如:政府機關物流業及其他相關基礎架構 (視連線與通訊方式而定),同時還可進一步讓網路犯罪集團連上其他無安全防護的對象,如:商業大樓與住宅區。甚至從事一些更惡劣的攻擊:分散式阻斷服務 (DDoS)、中間人攻擊 (MiTM) 或是權限提升攻擊等等。

不但如此,這些交通運輸系統的控制管理系統一旦遭到入侵,還可能使得寶貴的資源遭到濫用或未經授權使用,變成歹徒蒐集高價值目標敏感資訊的來源,或是造成營業損失以及財產遭竊。如果受害的是交通工具共享或租用服務,其裝置還可能被用來取得先前使用者的資料,帶來違反資料隱私法規的疑慮。

[延伸閱讀:US cities exposed in Shodan]

無線通訊攻擊與風險

V2V、V2I 和 I2I 無線通訊是智慧運輸與智慧城市營運的骨幹,尤其是即時資料的交換與應變措施的部署。然而,如同知名的 2015 年 Jeep 車款遭駭事件顯示,從遠端駭入車輛 (不論是透過內部零件連網裝置) 已證明並非無稽之談。車輛或周邊裝置的漏洞,以及未加密的公開 Wi-Fi 連線都可能使得行駛中的車輛遭到挾持。根據 Georgia Tech 的一份研究指出,只要有 20% 的連網車輛被卡在曼哈頓市中心,就足以癱瘓該城市,包括緊急應變人員的部署與通訊。而同樣的攻擊如果發生在其他城市,其所需的車輛可能更少。不僅如此,從設計到派送階段的伺服器端安全也必須提升。一些含有漏洞的網站強度不足的密碼與可被搜尋的應用程式資料,都可能立即暴露製造商的客戶資料、控制流量軟體漏洞,進而被用於開啟車門並啟動自動駕駛車輛。

還有一些製造商正試圖將語音助理這類的裝置整合到車輛中,這讓歹徒也可能利用這類智慧及連網裝置的已知漏洞與攻擊技巧來駭入車輛。他們可能利用應用程式的弱點和漏洞來滲透、掃瞄並操控連網運輸工具,或者當成駭入關鍵基礎架構與工業設施的跳板。

[延伸閱讀:EU report highlights cybersecurity risks in 5G networks]

最佳實務原則

任何國家在建置 ITS 時都應將網路攻擊與入侵防護策略列為其中一環,並提出具體可行的應對措施。且必須讓所有人共同參與,包括:政策制定者、製造商、市民/居民、設計者、規劃者以及營運人員。公共基礎架構與民間企業遭駭客入侵的情況似乎越來越普遍,因此,防範措施不僅對整體的主動防禦、甚至對整套系統的防護都至關重要。儘管任何防禦都可能無法阻擋那些有決心和毅力的攻擊,但仍有一些最佳實務原則可以防範一般的實體、網路與無線通訊攻擊:

  1. 在 ITS 裝置和設備周圍設置一些強化的實體安全措施。確保沒有未經授權的人員可以靠近該區域,防止有人篡改或破壞設備的某些特定元件。考慮限制只有少數經過授權的人員可以實際操作這些設備或進入這些區域,並且只能在內部規定的時間或時段內進行。管制可帶進這些設備訊號範圍內的連網數位設備,只允許攜入執行資安稽核與維修檢查所必要的裝置。
  2. 實施網路分割並建置監控、偵測與攔截系統。防火牆和威脅管理閘道這類的資安系統,可在攻擊到達或執行惡意行為之前,快速分析並攔截所有惡意的網址、指令、電子郵件與腳本。如此一來,一旦遭遇攻擊,資安與 IT 團隊就能更快發掘並加以隔離以控制災情,防止入侵者進一步駭入其他網路和端點裝置,避免可能的資料外洩或感染。此外,網路監控還可協助多層式防護系統更快偵測異常狀況與不正常的資料交換 (尤其若搭配機器學習與人工智慧分析技術),從設備到所有連網行動裝置都能受到保護。
  3. 定期執行資安稽核以確保網路、硬體、軟體及韌體皆無資安漏洞存在。清查所有連上家用網路或企業網路的裝置,確定所有智慧裝置皆已更改出廠預設的登入憑證。執行漏洞掃瞄來發掘系統的漏洞並立即套用適當的解決方案。建立一套修補管理程序來確保所有連網系統皆完成修補且不中斷服務或營運。利用現成可用的工具 (如 Shodan) 來掃瞄自己是否有暴露在外的裝置,並在所有平台上建置適當的安全機制 (如多重認證),或者關閉所有連接埠來防止未經授權的對內或對外連線。

[延伸閱讀:Securing smart cities]

結論

儘管 ITS 的連網能力與自動化能帶來創新與便利的契機,但卻也擴大了歹徒的攻擊面,讓歹徒有更多可利用的機會對使用者、企業與社會大眾帶來危害。這些即將來臨的變革,為傳統車廠與運輸產業開啟了一個新的局面:汽車與交通運輸產業再也不單只是冷冰冰的機器生產者,而是跨入了一個創新、軟體與使用者體驗設計的領域。汽車展示間所販賣的商品,再也不完全屬於使用者所有,因為軟體更新必須靠車廠與其協力廠商提供,而且相關產品的後續維護只能透過廠商取得。

然而最不幸的狀況是產品一開始就缺乏網路資安相關的測試與整合,且功能創新比資訊安全更受重視,再加上各種網路威脅不斷出現,都讓人們對這些新興科技缺乏信心,進而阻礙創新、損害企業商譽、甚至威脅生命安全。只要能對所有實體設備和網路連線實施嚴格的安全標準與資安措施,就能建立第一道防線來遏阻一些不良意圖。接著再將網路分割成不同區段,隨時監控網路資料流量,就能在最短時間內讓掌控情況,提早發掘對內或對外的異常連線活動。最後,定期執行資安稽核並提升相關人員的資安意識,這不僅能讓所有人都能隨時掌握當下可建置的最新資安措施,還能讓每個人都熟悉自己對維持系統與都市的安全與效率所應肩負的責任。

原文出處:Out on a Highway Run: Threats and Risks on ITS and Smart Vehicles