对于一项新兴科技来说,无人驾驶汽车有很多优点,比如安全、高效。据统计,81%的机动车辆事故是由于人为错误而造成的。许多人甚至期望,拥有更多路况信息和自动驾驶技术的新兴移动出行生态系统能够完全杜绝常见交通事故的发生。
未来移动出行不仅带来潜在商业发展机会和新的价值创造来源,也带来了新的风险。旨在改进人们出行方式的这一创新却带来了头号网络安全挑战。对用户和企业而言,在此过程中,数据管理、用户隐私和数据保护至关重要。譬如,黑客可能会偷装监控设备,用收发器提取用户数据;还可能会将错误的传感器及导航信息传送到网络,使车辆转弯躲避并不存在的障碍物,或者把乘客送至错误的目的地。
汽车制造商、技术公司、政府等都为未来移动出行生态的发展纷纷加大投入,可是如果他们对网络威胁没有足够的认识,或没有具体的应对策略,这些巨额投入可能就会打水漂。对于移动出行生态系统中的参与者而言,最关键的挑战是将风险维持在消费者和监管者都能接受的水平。
风险所在:潜在漏洞满是“坑”
■内部威胁
随着车辆与其他车辆及周围环境的数字化连接越来越多,车联网的应用会逐渐扩展到很多方面:从帮助应急车辆重新规划路线、缓解交通拥堵,到指引车辆停泊以及为电动车辆充电。
很多车辆严重依赖于一些专有软件,而这些软件在黑客面前已经是漏洞百出。就一般的新汽车而言,车上配备的电脑系统都会用到上亿行代码,这些代码使得汽车可以互联互通且更加精细复杂,但同时也更易遭受攻击。
而且,这还不单单是代码数量的问题,其质量也是个大问题。企业加速变革和创新的目的是在竞争中胜出,可为了在竞争中胜出,却往往倾向于牺牲端对端开发和测试的严谨性。汽车制造商和软件开发公司相应地需要在整个汽车组件的集成、安全和测试上多花点功夫。
■迷失在数据饕餮中
网联汽车会记录车主和乘客的一举一动,车载技术还可以编纂和分析数据,得出一些更具洞察力的结论。例如,设备可以仅根据制动踏板数据对用户进行分类。而对于共享汽车而言,深层数据挖掘可能会越来越频繁,以满足客户对服务无缝对接的渴求。
在未来,汽车会越来越了解自己的主人及乘客。对很多人而言,这个趋势让他们越来越担心。这些数据是归制造商所有吗?我们的法律制度会怎么界定数据的所有权?车辆报废之后,又有谁会负责清除报废车辆的数据记录?在未来发展的道路上,汽车制造商和共享出行服务提供商可能会指望企业信息技术部门。
■系统信息未必安全
如今,说到和软件相关的安装和召回,很多汽车制造商会让顾客亲自把车辆送到经销商那里去完成。但要让车主主动配合这样的服务要求似乎很困难,特别是当车辆运行还正常时。但随着越来越多的车载软件需要定期更新安全和导航信息,新的移动生态系统中的自动驾驶车辆可能会有专用通信线路与制造商进行交互,以便及时进行软件的召回和补丁安装。新的方式是接受和安装更新包的设备会直接和汽车互联网络连接。
每个新的连接功能会带来新的漏洞,这样又该如何保证安全?在防止篡改这个问题上,汽车制造商和软件开发商学习专线化内容传送的方法。卫星和有线媒体提供商为了解决这个问题,用上了数字继电器、可编程逻辑控制器和通信接口等。内容提供商受到终端用户技术能力的局限,但为了保证内容传递安全,通常都会做双向加密,安全密钥也会滚动刷新,而且会定期检查系统漏洞和远程篡改。
■操纵汽车控制系统和传感器
用户们常常会希望,智能设备上的一个应用软件能无缝地控制拼车服务,并对接其他交通出行工具。然而,无缝化就很难避免风险。黑客可能会偷偷安装监控设备,用收发器提取用户数据,或将恶意数据传入汽车网络。从理论上来讲,控制车内灯光和音乐的设备不能与控制刹车和油门等关键任务的系统进行通信。而现在,这些车载网络已经与车载通讯系统或车身控制单元进行了连接,从而允许数据在网络之间进行传播。
在泛汽车行业建立和实施一套安全标准时,不妨可以参考类似于数据安全标准(DSS)的规范,它将适用于汽车电子或基础设备供应商。目前,大多数的车载网络架构无法进行入侵检测或威胁监控,更不用说实现认证或加密。一名现代黑客如果能入侵一辆车,通常来说,只要他知道这辆车的通信模式,他就可以随心所欲地从汽车网络发送或提取任何信息。
发展之道:“预防”比“治疗”更重要
虽然未来移动出行生态的发展会面临诸多潜在的威胁,但这些危险并非难以克服,部分原因是公众、各级政府、监管部门以及标准制订部门对网络安全越来越重视。为了有效地制订标准,衔接未来各种移动出行方式,需要有更多的行业参与进来。事实上,鉴于这一新技术浪潮还处于起步阶段,目前的技术供应商似乎有能力塑造相关的标准。
汽车制造商和其他制造商需要构建安全组件,并保障信息交互安全。行业标准是在每个组件的基础上对车辆部件进行测试,评估软硬件、无线升级以及通讯渠道的漏洞。通常来说,单独的模块都会由特定的专家负责,因此不同的组件会引入多个合作伙伴。将这些独立开发的组件整合成一个产品,这会带来多重挑战。我们构建了一套完整的互联汽车组件(见图),并标注出各个组件如何彼此交互。单个组件的故障通常会导致连锁反应,使驾驶员和其他人员处于危险之中。
○车辆通讯总线。供应商应严格测试控制器局域网、互联网协议、2Wire、以太网和其他供应商指定的通信总线系统,以识别影响软硬件之间通信的安全漏洞。
○手机应用。手持设备上的车辆远程应用以及与其相连的车载仪表盘应用应被仔细评估,以确保点对点交互的安全性。手机应用软件越来越多,汽车的高级智能系统集成度越来越高,风险也越来越大。
○互联汽车服务。企业服务、传感器通信、无线固件更新、V2V和V2X通信都有可能存在漏洞,供应商应对这些点对点安全漏洞进行审查。其他容易遭受攻击的还包括车辆定位器、远程解锁和启动功能,以及车队健康监控。
○综合车辆安全。供应商和制造商应该想办法阻止针对车辆物理安全系统(如防盗器、报警系统和解锁系统)的攻击。此外,其应考虑到并尽力减轻针对无线电频的攻击,如重放攻击和拒绝服务攻击。
○信息娱乐系统。汽车音响主机,如导航系统、USB、CD/DVD等物理接口都暴露在外,容易让黑客有机会直接入侵核心组件和固件。
○无线通信。Wi-Fi、蓝牙、近场通信和移动互联网技术为入侵互联车辆提供了更多的途径,因此这些技术都应该仔细检查,定位相关的漏洞。
○高端/自动驾驶车辆系统(包括半自动和完全自动驾驶)。高级智能互联车辆系统,如雷达、摄像头、驾驶和停车辅助系统,以及防撞系统让黑客得以把网络攻击变成对车辆本身的攻击。在黑客的控制之下,这些系统可以严重影响车辆安全。因此,系统的完整性对汽车的整体安全至关重要。
○固件。黑客可以提取和分析电子控制单元固件,这样黑客就可以找出这些固件中的漏洞,并且提取敏感数据,如加密密钥。确保这些文件受到保护,并且防止其被篡改是保证整个系统安全的关键。
在整个发展过程中,企业应努力实现网络风险管理的三大基本目标:安全、警惕、韧性。抱着“预防”比“治疗”更重要的想法,首先就要保护好关键部件,并防止系统数据泄露或系统损害。随着时间的推移,硬件和软件都会“老化”,并且攻击的性质和强度都会改变。因此,供应商应该在保证安全的同时,还要保持警惕性——持续监控系统。最后,如果已经制订了相应的流程来快速处理威胁,那么就应该防止其扩散并且迅速恢复系统,这样,万一受到攻击时,止损和恢复就会容易很多。
