互联汽车(Connected vehicles)正在产生巨大的网络安全问题,不过,《汽车安全与隐私法案》(Security and Privacy in Your Car Act,简称SPY Car Act)正试图保护消费者的信息安全。
近年来,物联网的应用逐渐扩散到消费领域,汽车工业就是一例。汽车制造商不断改进技术,完善互联汽车的效能,并让驾驶者能够及时获知潜在的危险。车主还能通过智能手机应用远程解锁汽车、查看引擎状态或定位车辆所在。
美国政府气候变化与安全中心(Center for Climate Change and Security)研究员Daniel Allen认为,在技术不断进步的同时,互联汽车同样面临着与其他物联网设备一样的问题,即来自于网络的安全威胁。Allen是一位参加过当年沙漠风暴行动的老兵。最近,由于其针对互联汽车网络安全的在线技术培训计划,Allen刚入选了Entrepreneurs' Organization-Houston Veterans Business Battle(一个支持退役老兵创业的活动)2016年度的最终决赛名单。在本文中,Allen就互联汽车的网络安全问题以及诸如《汽车安全与隐私法案》之类的监管措施发表了自己的观点。
随着物联网类技术在汽车行业日益广泛的运用,互联汽车面临着哪些安全隐患?
Daniel Allen:通过与互联网以及其他车辆的连接,互联汽车能够提升驾驶的安全性和效率。但是,车辆和驾驶人员同样由此而暴露在网络攻击的威胁之下。这些车辆被设计成为移动式的联网设备或是无线热点(如同一个可移动的无线局域网),从而导致传输保密、数据完整和身份认证(confidentiality、integrity、authentication,CIA)等网络安全类问题暴露出来。
随着车辆不断融入物联网、互联和自治特性日益彰显,在与其他车辆和基础架构进行无线连接的过程中,受到网络威胁的潜在风险也越来越高,也提升了乘车人所面临的风险。简单地说,如今的互联汽车已经演变为一个可驾驶的计算机,从而和计算机一样面临着各种网络方面的威胁。
2013年,通过成功控制丰田普锐斯的部分功能,网络安全专家Charlie Miller和Chris Valasek实证了汽车系统的脆弱性。2015年,他们又从10英里之外成功侵入了一辆切诺基(基于切诺基的Uconnect功能),能够控制该车的刹车、行驶速度、广播、雨刷器等。Miller和Valasek的实验震惊了业界,总计有140万辆汽车被召回进行软件升级。
对于互联汽车技术面对的安全隐患,会出台哪些法律法规?
Allen:互联汽车面临着全天候的网络安全风险,政府因此加快了工作的进度。去年7月21日,《汽车安全与隐私法案》的草案稿出台,这是这个领域的第一部法律草案。同时,针对互联汽车的安全和隐私问题,国会还责成全美高速公路管理局和联邦贸易委员会一同建立联邦级的标准。
在该法案中,对计算机技术与汽车技术的融合做出了规范。随着远程通信系统(telematics systems)、传感器、蓝牙和802.11 IEEE无线局域网标准在汽车领域的应用,互联车辆正逐渐演变为一款超级移动设备。
你认为这些标准能够保护消费者和互联汽车吗?
Allen:如果与其他国家级、关键性基础架构的网络安全规范一样,那最终形成的标准就应该能够为车辆和乘车人提供足够的保护。值得注意的是,工业控制/SCADA系统(Supervisory Control And Data Acquisition,数据采集与监视控制)与汽车行业有一点非常相似:历史悠久,但之前一直没有成为黑客的焦点。
在这种没有很强安全需求的情况下,相关的战略和规范就显得比较薄弱,直接导致安全防御能力的低下。而且,传统上,这两个行业的产品开发周期都在一年以上,使得针对已知安全威胁的措施在产品进入市场时已经过时了,而面对新出现的威胁又无法应对。Stuxnet蠕虫病毒就是一个最佳的案例,工业控制系统在安全方面的脆弱性和滞后性彰显无遗。