保障连网汽车安全还真得政府出手

消费者们应该有意识到他们的车子可能会被黑客攻击这件事；我们现在已经知道电影里那种远程黑客的情节，是真的可能发生。但目前的现实是，虽然有各种连结技术已经移植到车子上，却没有布署对等的安全技术。

当然，汽车黑客会是车厂们在将连网汽车推销给广大消费者时最不想提起的；但美国与英国政府主管机关，则是努力走在前面，要让大众知道他们关心这件事。如英国交通部长Martin Callanan所言：“无论是我们要将车辆变成Wi-Fi连结热点，或是让车子配备数百万行程序代码、以实现全自动驾驶，保护车子不受到网络攻击都非常重要。”

Callanan是在上周英国交通部公开宣布新的指导原则，要求生产连网车辆的厂商采取更严苛的网络保护策略，以确保能更强势防堵黑客。而不只是英国，美国的国家高速公路交通管理局(NHTSA)也在去年秋天向汽车产业提出了联邦准则 (federal guidance)，以提升马达车辆的网络安全性。

所以我们都可以高枕无忧、对政府有信心吗？先别急…笔者还想到以下几个问题：

1. 美国NHTSA与英国交通部发布的准则，是否具备对连网安全性执法能力？
2. 更重要的是，他们是否提供了足够的有效网络安全措施？
3. 美国与英国的提案有哪些差异？

如同市场研究机构Strategy Analytics的全球连网汽车市场研究总监Roger Lanctot告诉我们的：“今天所有的工作以及准则，都只是建议而非强制立法；”在他看来，一切有可能成真：“在财务以及责任归属问题实际被定义之后。”

Lanctot指出，连网汽车的的弱点很多，包括诊断用端口、业余爱好者/狂热份子、经销商、供货商/供应链以及恐怖份子，更不用说还有人为疏失、设计错误，以及各种跨领域、不同标准的车内系统管理；随着汽车变身为不断线的运算设备，面临车上如此多必须保护的领域，全面性的准则并不容易订定，而且：“主管机关需要证明他们真的有在做事。”

安全专家们又是如何看待那些政府准则的发展？安全技术开发商OnBoard Security产品副总裁Gene Carter认为：“英国与美国政府公布的准则都包含了基本的安全原则；”他解释，这类措施应该要让任何一家会将硬件或软件连网的公司遵循，需要包含透过设计达到的安全性，深度防御、最小权限原则(principles of least privilege)等等。

Carter的看法是，那些是基础：“我会希望汽车制造商已经从IT世界的经验学到够多教训，而且他们应该已经正在做那些基本的事情。”

有少数包括Carter在内的专家，指出英国政府的准则在弱点被发现之后的软件更新方面远远不足，该准则只提到了如何在系统生命周期之内维护安全性的组织计划；他的观点是：“支持空中下载(OTA)更新应该会是对汽车业者的要求，车厂不可能打造一辆在产品的10~20年生命周期中都不可能有弱点的车子。”

他解释，若没有OTA，车厂就得仰赖车主在每一次有新的弱点发现时将主动车子开回保养厂，而这会让许多车辆都暴露在已知的攻击风险中，而OTA则能让风险中的车辆立即取得修正。汽车厂商当然也能透过提供OTA省下很多召回车辆的成本，因此它们自己也会朝向支持该技术：“我还是认为英国政府该明列该技术的使用，而不是含糊其辞。”

在此同时，汽车网络安全技术开发商Karamba Security共同创办人暨董事长David Barzilai针对英国政府公布的准则发表意见，同时对他们可能采取的先发制人行动表示赞许；他指出，在某个方面：“我们并没有感觉到那些准则足够有效防范汽车黑客。”他所提到的那个方面，也是关于如何处理安全漏洞。

Barzilai表示，他的公司已经针对与快速进展的自动驾驶技术相关之风险提出警告：“可能有成千隐藏的安全漏洞的车辆导入量产，这是不可避免的；所有的软件都有漏洞，而且每一辆车会有100~100万行程序代码。”

他进一步解释：“随着自动驾驶车辆变得越来越复杂，以及更多人类导航任务例如观察周遭、转向等移交给车辆，危险会随之增加；黑客能透过汽车的互联网连接入侵车辆，并用他们的方法取得车子其他部份的控制权。”

Barzilai表示，实际上汽车拥有很重要的启动网络安全能力，不应该被忽视：“上路的汽车应该如同在工厂内运转时那样，任何未经授权的出厂设定改变，一定是恶意软件；将汽车对外连结的控制器根据出厂设定强化，能在黑客尝试寻找安全漏洞并成功入侵车辆之前防止网络攻击，也不用频繁针对该领域发送安全修补程序。”

当然，Karamba Security 有他们推广这种观点的理由，该公司开发了一种独特的ECU强化方法，其软件Carwell会针对任何不清楚是否为出厂设定的状况发出警报；Barzilai解释：“我们用一种不会伤害ECU的方法来打造安全策略。”

英美官方连网汽车安全策略的差异

英国与美国政府各自的连网汽车安全准则有一些差异，其中之一是关于网络安全问题的责任，是归属于汽车厂商的哪个职位来负责。对此Carter表示：“我很高兴看到英国将网络安全的个人责任归属，指向董事会层级；没有指出这样的责任归属，安全问题太容易被其他优先项目跳过，例如预算不足、时程延宕等等。”

他认为，英国交通部的方案比美国NHTSA的准则更广泛；举例来说，NHTSA主张业者可以透过指定高阶企业主管专门或直接负责产品的网络安全，而英国政府提出的则是“董事会层级责任归属”，会比指定一位网络安全专属主管更能改变企业文化，而且兼具双重效果。

隐私权则是另一个英国交通部提出与美国NHTSA不同方法的部份；Carter发现，英国交通部的准则主张“用户能删除系统中以及连网系统中保存的敏感数据”，而美国NHTSA则谈到保护私人数据，但对于用户的数据控制权着墨不多：“任何关心隐私权的人，会发现英国政府的准则比NHTSA的进步。”

汽车业者的反应是…

值得注意的是，汽车厂商并没有表示支持。汽车厂商在2015年成立了一个名为Auto-ISAC (Automotive Information Sharing and Analysis Center；汽车信息分享与分析中心)的单位，旨在建立全球性社群，因应连网汽车安全风险；根据该组织的官方网站，他们经营了一个分享、追踪并分析网络威胁、漏洞以及相关事件的中枢。

Strategy Analytic的Lanctot指出，“最低限度”的安全性措施，正在Auto-ISAC最新的最佳实践案例被定义中；在此刻，英国与美国政府公布的准则，似乎并未对汽车厂商有实质影响。不过英国政府在上周表示也在规划新立法，以规范自动驾驶车辆的保险。

毕竟，自动驾驶车辆问世面临严重的法律障碍；英国政府表示，保险业者与立法者尝试厘清事故的责任归属原则，将相关措施立法，意味着要确保现代的车辆在技术失灵时能为消费者提供保障。Lanctot表示：“目前尚未看到任何结果，但很快会出来。”

编译：Judith Cheng

本文授权编译自EE Times，版权所有，谢绝转载

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”。