互聯汽車面臨的網絡安全問題
互聯汽車(Connected vehicles)正在產生巨大的網絡安全問題,不過,《汽車安全與隱私法案》(Security and Privacy in Your Car Act,簡稱SPY Car Act)正試圖保護消費者的信息安全。
近年來,物聯網的應用逐漸擴散到消費領域,汽車工業就是一例。汽車制造商不斷改進技術,完善互聯汽車的效能,并讓駕駛者能夠及時獲知潛在的危險。車主還能通過智能手機應用遠程解鎖汽車、查看引擎狀態或定位車輛所在。
美國政府氣候變化與安全中心(Center for Climate Change and Security)研究員Daniel Allen認為,在技術不斷進步的同時,互聯汽車同樣面臨著與其他物聯網設備一樣的問題,即來自于網絡的安全威脅。Allen是一位參加過當年沙漠風暴行動的老兵。最近,由于其針對互聯汽車網絡安全的在線技術培訓計劃,Allen剛入選了Entrepreneurs' Organization-Houston Veterans Business Battle(一個支持退役老兵創業的活動)2016年度的最終決賽名單。在本文中,Allen就互聯汽車的網絡安全問題以及諸如《汽車安全與隱私法案》之類的監管措施發表了自己的觀點。
隨著物聯網類技術在汽車行業日益廣泛的運用,互聯汽車面臨著哪些安全隱患?
Daniel Allen:通過與互聯網以及其他車輛的連接,互聯汽車能夠提升駕駛的安全性和效率。但是,車輛和駕駛人員同樣由此而暴露在網絡攻擊的威脅之下。這些車輛被設計成為移動式的聯網設備或是無線熱點(如同一個可移動的無線局域網),從而導致傳輸保密、數據完整和身份認證(confidentiality、 integrity、authentication,CIA)等網絡安全類問題暴露出來。
隨著車輛不斷融入物聯網、互聯和自治特性日益彰顯,在與其他車輛和基礎架構進行無線連接的過程中,受到網絡威脅的潛在風險也越來越高,也提升了乘車人所面臨的風險。簡單地說,如今的互聯汽車已經演變為一個可駕駛的計算機,從而和計算機一樣面臨著各種網絡方面的威脅。
2013年,通過成功控制豐田普銳斯的部分功能,網絡安全專家Charlie Miller和Chris Valasek實證了汽車系統的脆弱性。2015年,他們又從10英里之外成功侵入了一輛切諾基(基于切諾基的Uconnect功能),能夠控制該車的剎車、行駛速度、廣播、雨刷器等。Miller和Valasek的實驗震驚了業界,總計有140萬輛汽車被召回進行軟件升級。
對于互聯汽車技術面對的安全隱患,會出臺哪些法律法規?
Allen:互聯汽車面臨著全天候的網絡安全風險,政府因此加快了工作的進度。去年7月21日,《汽車安全與隱私法案》的草案稿出臺,這是這個領域的第一部法律草案。同時,針對互聯汽車的安全和隱私問題,國會還責成全美高速公路管理局和聯邦貿易委員會一同建立聯邦級的標準。
在該法案中,對計算機技術與汽車技術的融合做出了規范。隨著遠程通信系統(telematics systems)、傳感器、藍牙和802.11 IEEE無線局域網標準在汽車領域的應用,互聯車輛正逐漸演變為一款超級移動設備。
你認為這些標準能夠保護消費者和互聯汽車嗎?
Allen:如果與其他國家級、關鍵性基礎架構的網絡安全規范一樣,那最終形成的標準就應該能夠為車輛和乘車人提供足夠的保護。值得注意的是,工業控制 /SCADA系統(Supervisory Control And Data Acquisition,數據采集與監視控制)與汽車行業有一點非常相似:歷史悠久,但之前一直沒有成為黑客的焦點。
在這種沒有很強安全需求的情況下,相關的戰略和規范就顯得比較薄弱,直接導致安全防御能力的低下。而且,傳統上,這兩個行業的產品開發周期都在一年以上,使得針對已知安全威脅的措施在產品進入市場時已經過時了,而面對新出現的威脅又無法應對。Stuxnet蠕蟲病毒就是一個最佳的案例,工業控制系統在安全方面的脆弱性和滯后性彰顯無遺。
