米国「SPY Car Act」出台,能为联网车安全造座固若金汤的城池么?

  • 陈诚
  • 发表于: 2015/09/21 08:30:00 来源:车云网

「SPY Car Act」草案的出台,有望将联网汽车安全问题提上重要议程,毕竟“安全”才是消费者购车的首要考虑因素。

克莱斯勒「网络安全漏洞」召回案逐渐扩大,数量已经达到了接近其年销售额的一半,近140万辆。鉴于其他主机厂也曾因网络安全问题发出过不同程度的召回声明,所以整个汽车行业是时候该上点心了。

然而要降低此类型召回的规模,仅凭一家主机厂显然难以做到。目前,波音747上的软件代码才不过7500万行左右,而一辆具备联网功能的汽车上,软件代码竟多达3亿行,这也导致了这些车型被黑客攻破的几率非常高。那么问题来了。既然互联网汽车的安全问题已经不容小窥,那到底该由谁扛起安全防护的大旗呢?


SPY Car Act:米国人将联网汽车安全提上立法议案

7月21日,国会议员Edward Markey、Richard Blumenthal联合向参议院提交了一项新立法议案:汽车安全和隐私草案(Security and Privacy in Your Car Act,简称“SPY Car Act”)。一旦通过,这项立法将责成NHTSA(美国公路交通安全管理局)和FTC(联邦贸易委员会)建立联邦标准,以保护联网汽车的安全。据悉,在《汽车安全和隐私草案》提交之前,并没有类似监管车载系统安全的规定。

此次召回,克莱斯勒美国公司将面临1.05亿美元的民事责任赔偿,再加上召回过程产生的费用,其损失的金额多达数亿美元。假如各车企之间能够通力合作,此类召回事件的数量不仅能够大幅降低,同时用户体验也能得到有效改善。尽管「SPY Car Act」草案的出台能够督促各车企加强对网络安全问题的重视,但从整体而言,汽车行业这方面的底子还比较薄弱,甚至整个汽车行业对联网汽车的安全问题认识不足。改变在所难免,弗若斯特沙利文咨询公司(Frost & Sullivan)预测表示,未来两到三年内,整个汽车行业将会在网络安全问题上投入相当精力。

其实早在这次Jeep被“黑客入侵”之前,就曾发生过路虎被黑客远程控制后盗走;而一些经验丰富的黑客还可以透过宝马Connected Drive车载系统的漏洞,随意打开车内门窗。等等这些事件都已经清晰表明了汽车网络安全威胁的真切存在,一旦”SPY Car Act”通过,里面针对联网汽车安全问题提出的「三步法」能够最大限度地降低黑客入侵的安全隐患。不过就车云菌个人来看,要搭建出100%安全的车机系统,对车企和整个汽车工业而言,都将面临极大的挑战,需要来自其他行业、零部件供应商等合作伙伴的协助。

当然,围绕“SPY Car Act”进行的一些基础工作和研究对打造车载系统安全生态至关重要,这是目前汽车产品研发缺少的一环。此外,要想实现从物理→数字→网络仪表盘的阶段式发展,这项法案中涉及的安全和隐私标准将发挥关键作用。不过尽管“SPY Car Act”并非能够解决所有形态网络安全问题的万金油,但它的确为推动汽车网络安全迈出了实质性的第一步。

此外,车云菌还需要指出的是:汽车工业并非以建立车内通信标准而获名。考虑到越来越多的软件进入汽车,汽车业像传统互联网企业一样,也遭遇了各种各样的由「分片」引发的安全问题。因此,“SPY Car Act”法案中涉及的安全和隐私标准将针对数据分片问题进行着重强调,这将为汽车制造商提供可量化的工具来确保汽车网络安全。

由于控制相应功能的ECU数量的不断增加,导致对应软件代码的规模在同比例不断增加。而“SPY Car Act”法案中的安全标准将重点关注与这些ECU直接相连的重要系统(如转向和刹车系统)的安全问题,并提出了“要将重要系统进行单独隔离”的架构措施。不过值得庆幸的是,目前还没有出现因黑客入侵造成事故致死事件的发生。

除隔离重要系统的方法外,“SPY Car Act”法案出台后会强制车企执行针对黑客攻击的“侦查,报告和响应”措施,这也是法案中最难实现的部分。目前,主机厂并没有针对联网汽车安全漏洞有效的排查方法,甚至对车机系统的架构并没有我们想象地那么熟悉。这也是为什么需要车企与车企之间,车企与供应商之间要通力配合的原因。

此外,与手持设备厂商们相比,各大汽车制造商在安全和隐私方面同样面临难题,传统车企在数据管理方面并没有太大优势。如今的汽车,基本上可以看作是一台电脑加四个轮子,车主的数据必须受到重视和保护。“SPY Car Act”法案指出,在保护乘车人隐私数据方面,车主对主机厂收集到的车内数据有知情权。而在不久的将来,如果有软件需要使用车主的个人数据时,不论是出于营销还是广告的目的,都必须事先经过当事人的同意

最近一份来自弗若斯特沙利文咨询公司的研究表明,购买新车时,客户把安全因素置于首位。对于现在具备联网功能的车型而言,所谓安全应该由两部分组成:①坚固耐用;②网络安全,特别是那些需要与ECU通信的关键系统的安全。在不久的将来,消费者不仅会看到关于汽车碰撞测试的评级,他们还会看到关于反黑客和数据盗窃行为的安全评级

综上来看,虽然「SPY Car Act」并非治愈汽车黑客的良方,但它对于未来联网汽车的安全却很有必要。这项法案如果成功推行,不仅能够促进网路安全标准的建立和实施,还可以帮助车企避免因召回造成巨大损失。以车云菌个人来看,随着联网汽车数量的不断增长以及功能的逐步完善,传统车企完全可以借鉴特斯拉“通过OTA更新重要固件”的安全防护措施。目前几乎所有的大型主机厂仅仅是利用OTA更新车机应用,但如果能够利用安全通道对重要系统随时升级,类似通用的点火开关问题就可以一键式修复了。


车云小结:

诚然,短期来看,“SPY Car Act”法案并不会重塑现有汽车行业的结构,但它却能够很大程度上改变汽车网络安全模式。虽然汽车制造商是车载系统的决策者和最终审批者,但安全联盟在安全系统标准制定上也有举足轻重的地位,在汽车网络安全方面需要有政府的参与和行动,因此互相合作是大势所趋。


附录:SPA Car Act 的「三步法」措施

① 车企为所有待售车型安装的电子系统必须要采取有效防“黑”措施;

②结合第一步措施,主机厂在进行车机系统架构时,应该将重要系统和非重要系统进行隔离;

③ 在产品正式投放市场前,主机厂应该在遵循安全准则的情况下,对车机系统进行最大限度的“入侵攻击”,以测试系统是否存在安全漏洞和风险隐患。

备注:关于本法案详细内容,请戳本链接下载查阅。)

相关标签:
安全
车联网
车载系统
黑客攻防战
  • 车云星
  • 空间站
  • 福特星球
  • 虫洞

加料 /

人评论 | 人参与 登录
查看更多评论