加拿大学者分析军事电气化网络安全问题并提出对策建议

需要什么才能入侵坦克？现代西方军队可能很快就会发现这一点。美国、德国、法国、英国、澳大利亚和其他大国的军队正在考虑逐步将电动汽车引入其机动车队。这些举措与国家脱碳战略相关，也旨在为未来战争实现这些车队的现代化。然而，电气化也带来了一个重要且被低估的挑战：网络安全。

事实上，未来的电动军用车辆很可能包括众多计算机化的车载系统，并将依赖于可能高度互联的充电基础设施。这场正在发生的革命为对手创造了新的可能性，对手可能很快就会试图破坏现代车辆以收集战略性敏感信息或破坏作战效能。这种情况可能如何发生？它们会对一个国家的国防机构产生什么影响？武装部队如何才能更好地应对这一挑战？除其他现实情况外，针对“智能汽车”的网络攻击最终可能会危及生命或破坏电网稳定。现代军队已经采取了各种措施来应对此类挑战，其中包括采用安全设计方法、保护网络供应链以及加强对数据流的保护。

电力作为武装部队机动来源必将很快成为现实。军用电动汽车的全球市场价值在2023年达到58亿美元，预计到2027年将翻一番。目前，在军事机动领域可以观察到三个主要的创新领域，每个领域都提出了不同的网络安全问题。

第一个领域涉及军事机构采用全电动汽车。目前，这一转变主要集中在“后方”车辆车队上，换句话说，就是基地使用的支援车辆和某些轻型运输车辆。这是加拿大等一些国家目前的优先事项。尽管如此，也有少数旨在开发特定重量级的电动战车的项目正在实施中。在美国，通用汽车防务公司目前正在开发一种全电动步兵班用车辆，而美国陆军则考虑采用一种电动轻型侦察车。除了减少军队的碳足迹外，这些举措还提供了部分减少对全球石油市场的依赖的机会，因为全球石油市场的流动和价格在很大程度上仍然受到地缘政治动荡的影响。

第二个创新领域是重型战车的逐步混合动力化。目前，这主要涉及将现有平台转换为“全混合动力”类型的传动系统（尽管也在考虑采用插电式混合动力汽车）。例如，美国陆军目前正在研发斯特赖克装甲车的混合动力版，从长远来看，甚至还在研发艾布拉姆斯主战坦克的混合动力版。除预期的能源效率提升外，这些创新还可以提供许多战术优势：部分电动机动化带来的热量和噪音减少可以提高战场上部队的隐身性（从而提高生存力）。混合动力汽车专用的高性能电池还可以帮助提高专用于“静默监视”任务的部队的续航能力，这种任务可以长时间调动监视设备但保持静止状态。

最后，第三个重大发展与前两个发展部分重叠，即军用车辆（无论是电动、混合动力还是纯燃料驱动）的连通性不断增强。这包括将民用电动汽车引入后方车队，这些车辆在设计上高度计算机化和互联（特别是互联网）。与此同时，越来越多的项目旨在开发“智能”、可选载人甚至自动驾驶的军用车辆，其中许多注定要配备电动动力。据报道，在美国，注定要取代布雷德利的步兵战车将同时配备可选载人和混合动力。美国及其盟国必须考虑军事机动性的这些重大变化如何引发网络安全问题。

易受网络威胁的现象并非电动汽车所独有。燃油汽车也可能遭到黑客攻击（过去几年进行的一系列实验表明），但这很大程度上取决于计算机化和数字化的程度。车载电子设备及其连接性是车辆脆弱性的基础。由于如今普通公路车辆的车载软件包含多达1亿行代码，汽车越来越像四轮计算机。

车载电子设备的扩展也增加了汽车供应链的复杂性。联网汽车现在集成了大量需要频繁更新且由各种供应商设计的软件。2020年，大众汽车估计其车辆中集成的90%的代码是由多达50家第三方公司开发的。换句话说，联网汽车的网络供应链得到了扩展，并代表了一种潜在的威胁载体。例如，通过攻击一家小型软件供应商，黑客可以设置陷阱，将更新注入数千辆汽车。除此之外，电动汽车本身就依赖于日益计算机化和“智能化”的充电基础设施，从而为感染提供了额外的载体。

汽车行业采取的这些各种转变因此产生了具有两种弱点的“网络敏感”汽车。第一种弱点是由车载电子设备的全面增加引起的。第二种弱点是电动汽车对日益互联的充电基础设施的依赖。

车辆电气化和联网的重叠会带来许多风险。无论是后方的电动和联网车辆，还是可能部署在前线的未来“智能”武器系统，许多军用车辆都需要收集和交换越来越多的数据。事实上，现代车辆集成了越来越多的传感器，这些传感器的传输信号如果被拦截，可能会向对手提供有价值的情报。这些信息可能包括通过地理定位获得的车辆位置和运动模式、通过车载设备交换的消息、通过免提车载套件进行的对话、后视摄像头拍摄的图像等。

入侵联网军用车辆可能被用来监视高级军官、跟踪部队动向或定位和监视敏感设施。虽然此类威胁看似是假设的，但一些国家军队却非常重视它们，例如担心特斯拉汽车车载摄像头可能被黑客用于间谍目的。

虽然目前看来这个问题仅限于商用车辆，但很快就会扩展到军用车辆。在美国，一些人呼吁采用电动和高度互联的特斯拉式作战车辆。这样的发展将带来重大的作战安全挑战。然而，值得注意的是，人们越来越有兴趣使用车辆传感器作为数据农场，为军方提供和训练人工智能模型。

另一个需要考虑的威胁是车载系统的完整性。除产生数据流外，车载电子设备还可以执行各种任务，其中一些任务延伸到对车辆本身的物理控制。这些任务可能包括根据能见度打开或关闭前灯、检测到障碍物时紧急制动等。毫不奇怪，车辆远程信息处理的扩展为黑客获取访问权限创造了各种潜在渠道。2015年，美国黑客成功入侵吉普切诺基并远程控制其变速器、方向盘和刹车，成为头条新闻。

此类情况表明黑客可能会危及乘客生命或损坏车辆。然而，这种情况不太可能发生，因为此类操作需要大量时间、专业知识，并且存在特定的计算机漏洞。此类黑客攻击的其他变体似乎更容易实施，因此更有可能发生——例如，阻止车辆的点火系统以降低军队机动车队的可用性。这种情况被认为是有可能发生的，以至于在2024年初，法国部队模拟了在网络攻击导致其车载系统瘫痪后，前沿部署的狮鹫装甲车被摧毁，这是法国DEFNET国家演习的一部分。

军用车辆对此类威胁的敏感性将取决于其数字化程度。目前，这些威胁首先适用于后方的电动/联网车辆，其作战价值不那么关键。然而，重要的是要考虑到商业化车辆中已经存在网络漏洞，并且可能被利用来对付装备有受民用车型（例如通用汽车防务公司为美国陆军开发的电动悍马）启发的战术车辆的军队。军方对“智能”和可选载人载具的兴趣日益浓厚，也将不可避免地增加这种威胁。例如，2011年，伊朗通过远程入侵其GPS导航系统，欺骗无人机降落在伊朗基地，从而获得了一架美国侦察无人机。尽管电子战和网络战在操作、战术和细节上存在差异——我们在联网、混合动力和电动军用车辆的背景下提供了许多例子——但最重要的是，基于类似技术的未来地面车辆将容易受到攻击。远程操作的技术通常是联网的——而联网的东西很容易被黑客入侵。同样，插入式设备数量的增加也导致了更多的电磁特征和干扰。联网和潜在脆弱性对于军队、汽车制造商和民用用户来说都不是一个令人放心的概念。

无论是电动汽车还是插电式混合动力汽车，汽车充电基础设施也存在漏洞。充电站高度计算机化，经常连接到互联网，是网络攻击的另一个潜在载体。例如，2022年初，亲乌克兰的黑客入侵了俄罗斯的充电站，导致它们无法使用。

各种研究表明，被入侵的充电站可用于在车辆充电时提取敏感数据或向车辆注入恶意软件。此外，入侵充电站还可用于中断或阻止充电周期，甚至改变充电器的电压以损坏车辆。因此，恶意行为者可能会利用充电基础设施进行间谍活动或破坏军队车队的可用性。

可以肯定的是，军队将力求采用具有高安全标准的充电基础设施，但在军事基地外可能并非如此。2021年，研究人员发现，市场上的民用充电系统存在严重的信息技术漏洞。当军用车辆在某些情况下被允许使用民用充电站（国内或国外）时，这些漏洞可能会引起担忧。虽然电气化的一大好处是可以缩短军事后勤链并减轻负担，但正确组织和管理充电基础设施的问题本身就很复杂。

各种研究表明，旨在以协调的方式突然激活（或停用）大量充电点的网络攻击可能会破坏电网的稳定性，并可能导致灾难性的后果。因此，受损的充电基础设施也可用于破坏或损坏整个电网。除对车辆本身的风险外，对充电系统的网络攻击还可能使对手能够部分破坏甚至破坏目标国家的电力供应。因此，重要的是要考虑到军队的充电系统将与选择电动汽车本身一样敏感。

这些威胁并不会阻止军队在未来采用电动汽车。但它们应该促使人们认真思考如何最好地保护未来的联网军用车辆及其充电基础设施。投资电气化的参与者至少可以采取三项主要的风险防范措施。

第一个是“设计安全”，这意味着将网络安全要求和最佳实践融入车辆和充电系统的设计和开发过程中非常重要。这可以通过主动对制造商实施严格的标准和控制来实现，例如要求在车载系统上安装用于检测网络入侵的系统。这是从2015年吉普切诺基实验中学到的主要经验之一，在实验中，研究人员能够篡改和测试他们对车辆软件代码的修改，而系统不会对高度不典型（因此可检测到）的活动做出反应。这种方法还可能包括在车辆或组件设计的初始阶段进行彻底的威胁评估，并确保在部署前对所有软件组件进行严格的漏洞测试。强制性的定期审核和更新也可能有助于预先识别和缓解软件中的潜在漏洞。安全设计方法应融入车辆开发的每个阶段，并有助于避免未来联网汽车出现这种情况。这些程序与加密协议、设计和制造中严格的网络安全标准相结合，并辅以强制更新机制，可以在车辆的整个生命周期内为车辆提供免受威胁的保护。

“精心设计”方法还涉及确保网络供应链的安全，以确保未来车辆的零部件和软件不仅可靠，而且来自值得信赖的供应商。安全的网络供应链框架应包括供应商审查、持续的供应链监控以及促进与值得信赖的供应商的合作。潜在的第三方供应商和软件和硬件组件供应商应接受审查。这可能包括背景调查、安全认证系统和对国际网络安全标准的遵守情况。美国国防部的网络安全成熟度模型认证2.0（CMMC 2.0）计划可能提供一个有用的框架，以满足加强国防车辆特定需求的安全网络供应链。

第二个预防轴心涉及红队——即使用“道德”黑客主动测试系统（在本例中为车辆）的漏洞。例如，渗透测试会动员已经精通某种类型系统的外部黑客来模拟潜在攻击者的行为。目标是了解如何入侵车辆并帮助设计师修复已发现的缺陷。此外，软件更新或设计修改提供了在整个生命周期内重新评估系统安全性的机会。红队还可以包括漏洞赏金计划，即公司承诺奖励那些站出来（通过正式流程）披露其产品中发现的软件漏洞的黑客。漏洞赏金计划已经扩展到汽车行业——例如，2024年1月首次在日本举行的Pwn2Own Automotive竞赛中，各种黑客团队展示了在特斯拉或Ubiquiti和Emporia充电站中发现的漏洞（赏金高达10万美元）。这些红队实践适应了国防工业的保密要求，可以极大地帮助确保未来电动汽车的安全。在这方面，美国似乎走在了前面。尽管现有美军军事漏洞赏金计划（如“黑掉陆军”）中正在研究的系统尚未包括车辆，但美国防部已经聘请了经过认证的网络安全研究人员对某些武器系统进行渗透测试。这些都是值得推广的好做法。

最后，第三条预防轴线涉及确保联网汽车预计传输的大量数据流的安全——据报道，民用汽车每小时高达25GB。除汽车外，整个联网基础设施也是风险源，包括联网对象、远程更新系统等。汽车行业越来越多地使用加密技术，以确保联网汽车网络各节点间交换数据的机密性和完整性。为应对这些与加密相关的挑战，各国及其合作盟友必须采用先进的加密和数据保护措施。这可能包括确保车辆间传输的数据受到端到端加密的保护。

然而，挑战在于如何保持加密标准以适应黑客在此领域的不断进步。这对于军用车辆来说可能是一个挑战，因为它们的使用寿命长达20或30年。例如，F-35（长期武器计划的原型）现在面临着其原始设计者甚至无法想象的网络漏洞。在这方面，数据可以通过抗量子算法和动态加密密钥来保护。安全的抗量子环境将确保通过先进的加密技术保护新旧数据。今年，美国国家标准与技术研究所计划发布新的后量子加密算法，联邦承包商将需要通过更新的加密标准来加强加密。另一个挑战是确保加密系统与军队将与之合作的盟军平台（或仅仅是其他军种）的加密系统兼容。系统的标准化和协调化将成为军事电气化过程中的普遍挑战。数据保护不仅仅包括加密。数据收集、管理和共享是现代冲突的重要组成部分。因此，需要采取额外的保护措施来确保数据点背后人员的安全。这可能包括匿名化数据或将数据收集最小化到与任务或服务交付直接相关的信息。这些措施可以降低敏感信息被利用的风险。

其他措施也可能侧重于在更人性和操作层面上降低风险，以保持武装部队一定的网络弹性。这可能涉及制定应急计划，以防电动/联网汽车车队或其充电基础设施遭受重大网络攻击。武装部队需要提前定义在黑客破坏部队GPS系统等情况下应遵循的程序。这意味着要确保维护地形图储备，可以迅速交付给前线部队，等等。理想情况下，部队也应该做好应对此类突发事件的最低限度准备。基于这个例子，这意味着要确保士兵仍然能够阅读和使用纸质地图。

在这方面，美国武装部队越来越多地在数字环境恶化的环境中进行演习，模拟GPS或无线通信系统的入侵。然而，这种做法不应仅仅刺激机械地切换回“低技术”方法和设备。事实上，网络攻击的一个特别有害的特征是其心理影响。通过简单地对系统的完整性产生怀疑，他们可以阻止部队使用更广泛的能力，从而产生与黑客攻击的实际影响不成比例的结果。理想情况下，在恶化条件下的演习还应寻求训练部队快速且高度自信地识别和判断哪些系统仍然可靠和可用，哪些系统实际上受到了入侵，以及它们能以多快的速度得到补救。尽管不是以网络攻击情况为重点，但美国中央司令部最近进行的一次演习动员了嵌入作战人员的软件工程师，任务是在整个演习过程中“动态”修改和调整作战系统的代码。由于网络防御专家和“常规”部队并不总是具有相同的背景和工作文化，因此实践这种合作至关重要。

这种对弹性的追求最终源于一个难以接受但又不可避免的事实——电动汽车根本无法在数字上坚不可摧。网络安全是一个本质上动态的过程，防御者和攻击者不断对彼此的举动做出反应。因此，未来的电动/联网军用车辆及其充电基础设施将不可避免地接受不断更新的过程以保持安全。

然而，防御者面临的挑战是从一开始就设定足够高的标准，以尽可能限制对手的机动自由。随着军队进入电气化的全球规划阶段，现在是时候认真考虑未来军用车辆的网络安全了。

这不仅是为了最大限度地减少能够构成威胁的行为体数量（包括非国家武装团体），也是为了迫使最有能力的对手为潜在攻击分配大量资源——理想情况下，要达到不具吸引力的成本效益比。换句话说，一个国家今天为保护其军用车辆所做的所有投资，很可能就是对手明天不愿为试图破坏这些车辆所做的所有投资。