凤凰网汽车

原标题：网络风险加剧 车企也要建防火墙

[

汽车行业正在经历一波创新浪潮，随着物联网（IoT）等突破性技术的出现，汽车也逐渐成为“车轮上的计算机”。近年来，汽车GPS定位技术、辅助驾驶功能以及车载娱乐信息系统发展得越来越快，再加上5G移动网络方兴未艾，全球网联汽车销量也在不断攀升。

据KBV研究公司最新发布的全球网联汽车市场报告，到2023年，全球网联汽车市场的规模预计将达到2562亿美元，在这5年间，该市场的复合年增长率将达31％。不过，随着车网联汽车变得越来越普及，汽车网络安全问题也变得日益突出。

车联网商机大，风险更大

车联网技术让我们的汽车生活变得更加便利，但也让汽车更易成为黑客们的攻击目标。据Mordor Intelligence研究机构发布的最新报告，2017年汽车网络安全市场价值已达7848万美元，预计到2023年将达到5.864亿美元，在预测期间（2018-2023年）的年复合增长率为49.5％。该报告的调查范围仅限于主要网络安全供应商提供的解决方案，包括硬件、软件、专业服务和集成解决方案的提供者。调查的市场包括美国、欧洲、日本以及其他地区。可见，未来汽车网络安全市场的增长潜力有多大。

当地时间8月10日，在美国拉斯维加斯举行的DEFCON 26 CTF黑客大会上，全球领先的物联网设备管理和安全供应商Zingbox宣布了一项新研究，警告汽车和驾驶者将面临新一轮的网络安全威胁。该研究表明，黑客们可以通过入侵汽车的信息娱乐系统而窃取驾驶者的个人信息，并实现对汽车的操控。众所周知，目前汽车显示屏正走向大屏化、集成化、智能化，以显示屏为载体的车载信息娱乐系统也变得更加先进，集成了各项功能，积累了大量的车主隐私数据。而且随着共享出行服务的兴起，用户信息的保护显得尤为重要。

早前的黑客攻击的是汽车的功能性系统，如：刹车、转向系统及汽车门锁装置。随着汽车网联化的程度越来越高，他们攻击的方向转向了车载信息娱乐系统。在黑客大会上，Zingbox首席安全研究员雷加拉多讲述了其团队如何用恶意软件感染了一辆汽车的车载信息娱乐系统，然后通过短信窃取到车主的个人信息。

车载信息娱乐系统的运行依赖于物联网技术，现已证实车载信息系统存在被病毒感染的风险，这为业内敲响了警钟。因此，目前汽车业亟需加速研发基于物联网技术的网络安全方案，这类方案与当前医疗、金融服务以及制造业所采用的方案有些类似。汽车厂商也应尽快为广大驾驶员提供网络安全防护，特别是全球数百万出租车司机。

汽车信息娱乐系统包括GPS导航、音乐选项、拨打和接收电话、阅读短信以及管理软件更新等功能。举例来说，一个由黑客设计出的恶意车载USB，连接到车载信息娱乐系统将使其受到病毒感染。比如加载一首含有病毒的免费歌曲，通过诱使车主插入受感染的USB驱动器，一旦与车主的手机配对，信息娱乐系统中的恶意软件将利用手机的短信功能服务获取用户的联系人名单等私人信息，还能窃取银行认证码甚至截取手机来电或主动拨号。同样，短信功能也可能被用于远程操控感染病毒车辆的车载信息娱乐系统，并导致驾驶员分神或使其车载系统处于不可用状态。

抵御风险，各国积极出台标准

令人欣慰的是，就像任何新兴产业一样，网联汽车也得到各国政府持续的监管和保护。为了创造全面的车内网络安全环境，各国监管机构都在出台法律和标准，以应对日益加剧的汽车网络安全风险。

汽车网络安全问题在美国已受到立法者的关注。美国高速公路安全管理局（NHTSA）多管齐下，将美国国家网络安全标准与技术协会的网络安全框架相结合，并鼓励行业积极采取措施，改善美国汽车网络安全状况。NHTSA希望与汽车业紧密合作，共同应对汽车网络安全挑战，并不断寻求降低相关安全风险的方法。当地时间8月3日，在第二届比灵顿全球汽车网络安全峰会上，NHTSA副局长海蒂・金表示：“自动驾驶和网联汽车技术网络安全的风险管理需要政府和企业加强公私合作，搭建伙伴关系。”

2017年7月，美国众议院一致通过了《自动驾驶法案》。该提案指出，网络安全是任何自动驾驶系统的必要组成部分。早在2016年10月，NHTSA发布了一套汽车网络安全准则指南。该指南建议对车辆的操控功能和消费者个人数据进行基于风险级别的识别和保护。此外，该指南还建议车企将网络安全纳入车辆的整个生命周期，并促进对网络安全事件的快速应对和解决。

在欧洲，2017年1月，欧盟网络和信息安全机构（ENISA）发布了一项名为“智能汽车的网络安全和弹性”的研究指南，它列出了智能汽车抵御网络安全威胁的做法和建议。今年5月29日，欧盟委员会发起了一项欧洲未来网络安全章程（《欧盟网络安全法案》）的提案。建议将ENISA升级为欧盟的永久性机构，以加强该组织的力量。此外，欧盟还将为信息和通讯技术（ICT）等产品创建一个欧洲网络安全认证框架，以在欧盟内部加强网络弹性和响应能力。协调各种标准以提升效率也是欧盟“单一数字化市场”战略的核心主题。这项提案要成为正式法案，还需得到欧洲议会的批准。

在中国，今年6月，工业和信息化部与国家标准委联合发布的《国家车联网产业标准体系建设指南》提出，到2020年基本建成国家车联网产业标准体系，而这一标准建立的主要目的之一就是要确保汽车在道路行驶中的安全。2016年，全国汽车标准化委员会推出了《智能网联汽车标准体系建设方案》，其中信息安全标准体系（204）也是其中重要的一部分。

大家来“找茬”，信息共享

为了让车内空间成为驾驶者的无忧空间，汽车厂商也在积极构筑“防火墙”，抵御汽车网络安全风险。

当地时间7月27日，在底特律召开的比灵顿网络安全峰会上，通用汽车总裁丹・阿曼宣布，该公司将启动一项奖金丰厚的漏洞悬赏计划。该计划旨在让程序员为其挖掘潜在的网络安全问题和产品的潜在弱点。据悉，通用汽车将招揽大约10名网络安全研究员，即所谓的“白帽黑客”。

通用汽车全球网络安全副总裁杰夫・马希米拉在网络安全峰会上表示，这些白帽黑客将从500多位之前参与了通用汽车“漏洞披露计划”的研究人员挑选。2016年，通用汽车与HackerOne，一个友好的白帽黑客平台，共同推出了这一项目。

通用汽车方面表示，漏洞悬赏计划将比漏洞披露计划“更进一步”。自2016年1月份启动以来，漏洞披露计划已识别出700多个漏洞。马希米拉表示：“我们通过漏洞披露计划开始意识到专业人员的力量，于是决定启动漏洞悬赏计划。我们希望得到他们在产品网络安全的专业知识。通用汽车将以此着眼于产品最高网络风险的系统性研究。”此外，丹・阿曼还强调了培养网络安全工程师的必要性。“战斗在网络安全战争前线的人才短缺是一个不容忽视的问题，我们需要培养直接适用于网络安全领域的工程和技术人才。”他说。

福特汽车网联汽车网络安全技术经理迈克尔・威斯特拉则强调道，汽车制造商和供应商有必要调整他们的想法，以应对即将到来的网络安全威胁。“车企在构建一辆车的整体架构时，就需要设想到一些可能出现的网络风险了。”威斯特拉说。

除了依赖网络安全领域的专业人才，汽车厂商还应加强合作，共享信息以规避风险。菲亚特克莱斯勒汽车（FCA）公司首席技术合规官马克・切尔诺比就指出，汽车制造商和供应商应与计算机行业以及其他行业分享共同的网络漏洞信息。代表通用汽车、丰田等车企的全球汽车制造商联盟正试图建立一个“信息共享和分析中心”，这也是效仿大型银行试图阻止网络攻击的做法。日前，特斯拉CEO马斯克也在社交媒体上表示，该公司计划公开特斯拉汽车安全软件的源代码，让所有的汽车制造商都能免费使用。马斯克此举旨在通过合众人之力，提升汽车的安全性。

]