如今,停在你家门口的那辆汽车,它的代码行数可能比一架现代客机还要多。现在的汽车只要能联网,就能实现查询天气预报、付油费、寻找停车场、躲避交通拥堵、收听来自世界各地的电台节目等功能。很快,它们可以“互相交流”。未来,它们甚至会自己行驶。
车主们很喜爱这些便利的功能,但黑客们可能更喜欢。黑客们早已迫不及待地想要入侵车辆。2019年,汽车网络安全公司Karamba Security在线上发布了一个假的汽车电子控制单元。在不到三天的时间里,一共出现了25000次入侵尝试,其中有一次入侵成功了。
车企的担忧
这让很多车企和零部件厂商每天都在思考,怎样才能防止这些黑客的入侵。
这些企业都明白,黑客攻击一旦成功,并且造成车祸,甚至人员伤亡,对于用户和车企来说,就是一次重大打击。
网络安全公司必须采用多种方式保护车辆信息安全。汽车可能面临的威胁包括装载了恶意代码的SIM卡、伪造的OTA更新、从智能手机向车辆发送的代码,以及车辆传感器和摄像头可能接收到的欺骗信息等。此外,恶意代码还可以通过连接到车辆电脑端口的“加密狗”引入,其通常位于方向盘下方,用于车辆诊断和跟踪。
“卡车车队面临的风险更大。”GuardKnox网络技术公司总经理摩西·希利塞尔表示,车队受到黑客劫持后,可能会失去控制,黑客将以此获得赎金。
大陆集团旗下网络安全公司Argus的CEO罗南·斯莫里表示:“我们最担心的是车队被黑客攻击。多数厉害的黑客都来自资金实力雄厚的团体,并且在那里长期工作。”
希利塞尔认为,“如今看来,发生重大黑客事件只是时间问题。如果要说最安全的汽车,那大概是1916年下线的福特Model T,因为它没有连接任何东西,因此不会被黑客劫持。”
每一环都要防护
OTA更新的确可以修补汽车的软件漏洞,但对于汽车行业而言,这还远远不够。车企必须将所有部分保护起来,其中包括许多暴露在外界的系统,如音频系统、导航和电话。为了保护这些系统,以及其他更容易受到攻击的系统,从软件到硬件设计,车企对于新车制造链的每一环都要采取安全措施。
主流的汽车软硬件供应商都针对相应系统建立了防火墙。“人命关天,网络安全是我们的重中之重。”通用汽车负责全球网络安全的副总裁凯文·蒂尔尼说,该公司有90名全职工程师从事网络安全工作。
大陆集团是汽车电子零部件的主要供应商之一,该公司采用了入侵检测和预防系统来阻挡黑客的攻击。“如果两个不相关的部分突然有了‘联系’,那是我们设计之外的动作。”斯莫利说,“我们的系统可以阻止这一切。”
不过,黑客最终仍有可能找到入侵车辆的办法。
在全球范围内,汽车网络安全一直是零碎的工作,没有国际标准或法规。不过,这种情况即将发生改变。
安全评级势在必行
“安全问题不应该是事后才考虑的问题,而应该是确保车辆在公开道路上可靠部署的先决条件。”欧盟网络安全机构执行主任尤汉·里帕萨表示。
今年年初,联合国欧洲经济委员会(UNECE)世界车辆法规协调论坛(WP.29)此前决议的三项智能网联汽车领域的重要法规正式生效,这三项法规适用于54个缔约国。欧盟随后表示,新的法规将于2022年7月起成为车辆准入欧盟的新强制检测项目之一。
在WP.29相关法规中,针对信息安全的要求主要分为两大方面,即信息安全管理体系认证(CSMS认证)和车辆型式审批。
CSMS认证主要审查汽车制造商是否在汽车全生命周期内制订了与信息安全相关的流程,以确保汽车在全生命周期内都有对应的流程措施。车辆型式审批则是针对车企在信息安全开发过程中具体的工作项目进行审查。换句话说,CSMS认证是车辆型式审批的前提,而最终车辆能否上市销售,取决于是否完成CSMS认证及车辆型式审批。
《汽车新闻》指出,“信息安全认证在汽车生产方面涉及面很广,贯穿开发、生产、量产维护及响应等各个阶段。此外,欧盟要求强制实施WP.29信息安全法规不仅对欧洲本土车企是个挑战,同时也意味着对于有计划出口至欧盟地区的汽车制造商而言,获得信息安全认证将会是一大考验。”
虽然美国不在54个缔约国之列,但在美国销售的车辆在制造时也得执行与其他地方销售的汽车相同的网络安全标准。“联合国的规定是一个全球标准,我们必须满足全球标准才行。”通用汽车的蒂尔尼说。
今年2月,美国国家公路交通安全管理局发布了一份有关汽车网络安全的征求意见稿。“网络安全必须进行评级,就像车辆要进行碰撞保护评级一样。未来,新车的前挡风玻璃上会多出一个网络安全标准的贴纸。”汽车安全中心执行董事杰森K·莱文说。