「SPY Car Act」草案的出臺(tái)，有望將聯(lián)網(wǎng)汽車安全問題提上重要議程，畢竟“安全”才是消費(fèi)者購(gòu)車的首要考慮因素。

　　克萊斯勒「網(wǎng)絡(luò)安全漏洞」召回案逐漸擴(kuò)大，數(shù)量已經(jīng)達(dá)到了接近其年銷售額的一半，近140萬輛。鑒于其他主機(jī)廠也曾因網(wǎng)絡(luò)安全問題發(fā)出過不同程度的召回聲明，所以整個(gè)汽車行業(yè)是時(shí)候該上點(diǎn)心了。

　　然而要降低此類型召回的規(guī)模，僅憑一家主機(jī)廠顯然難以做到。目前，波音747上的軟件代碼才不過7500萬行左右，而一輛具備聯(lián)網(wǎng)功能的汽車上，軟件代碼竟多達(dá)3億行，這也導(dǎo)致了這些車型被黑客攻破的幾率非常高。那么問題來了。既然互聯(lián)網(wǎng)汽車的安全問題已經(jīng)不容小窺，那到底該由誰扛起安全防護(hù)的大旗呢?

　　SPY Car Act：米國(guó)人將聯(lián)網(wǎng)汽車安全提上立法議案

　　7月21日，國(guó)會(huì)議員Edward Markey、Richard Blumenthal聯(lián)合向參議院提交了一項(xiàng)新立法議案：汽車安全和隱私草案(Security and Privacy in Your Car Act，簡(jiǎn)稱“SPY Car Act”)。一旦通過，這項(xiàng)立法將責(zé)成NHTSA(美國(guó)公路交通安全管理局)和FTC(聯(lián)邦貿(mào)易委員會(huì))建立聯(lián)邦標(biāo)準(zhǔn)，以保護(hù)聯(lián)網(wǎng)汽車的安全。據(jù)悉，在《汽車安全和隱私草案》提交之前，并沒有類似監(jiān)管車載系統(tǒng)安全的規(guī)定。

　　此次召回，克萊斯勒美國(guó)公司將面臨1.05億美元的民事責(zé)任賠償，再加上召回過程產(chǎn)生的費(fèi)用，其損失的金額多達(dá)數(shù)億美元。假如各車企之間能夠通力合作，此類召回事件的數(shù)量不僅能夠大幅降低，同時(shí)用戶體驗(yàn)也能得到有效改善。盡管「SPY Car Act」草案的出臺(tái)能夠督促各車企加強(qiáng)對(duì)網(wǎng)絡(luò)安全問題的重視，但從整體而言，汽車行業(yè)這方面的底子還比較薄弱，甚至整個(gè)汽車行業(yè)對(duì)聯(lián)網(wǎng)汽車的安全問題認(rèn)識(shí)不足。改變?cè)谒y免，弗若斯特沙利文咨詢公司(Frost & Sullivan)預(yù)測(cè)表示，未來兩到三年內(nèi)，整個(gè)汽車行業(yè)將會(huì)在網(wǎng)絡(luò)安全問題上投入相當(dāng)精力。

　　其實(shí)早在這次Jeep被“黑客入侵”之前，就曾發(fā)生過路虎被黑客遠(yuǎn)程控制后盜走;而一些經(jīng)驗(yàn)豐富的黑客還可以透過寶馬Connected Drive車載系統(tǒng)的漏洞，隨意打開車內(nèi)門窗。等等這些事件都已經(jīng)清晰表明了汽車網(wǎng)絡(luò)安全威脅的真切存在，一旦”SPY Car Act”通過，里面針對(duì)聯(lián)網(wǎng)汽車安全問題提出的「三步法」能夠最大限度地降低黑客入侵的安全隱患。不過就車云菌個(gè)人來看，要搭建出100%安全的車機(jī)系統(tǒng)，對(duì)車企和整個(gè)汽車工業(yè)而言，都將面臨極大的挑戰(zhàn)，需要來自其他行業(yè)、零部件供應(yīng)商等合作伙伴的協(xié)助。

　　當(dāng)然，圍繞“SPY Car Act”進(jìn)行的一些基礎(chǔ)工作和研究對(duì)打造車載系統(tǒng)安全生態(tài)至關(guān)重要，這是目前汽車產(chǎn)品研發(fā)缺少的一環(huán)。此外，要想實(shí)現(xiàn)從物理→數(shù)字→網(wǎng)絡(luò)儀表盤的階段式發(fā)展，這項(xiàng)法案中涉及的安全和隱私標(biāo)準(zhǔn)將發(fā)揮關(guān)鍵作用。不過盡管“SPY Car Act”并非能夠解決所有形態(tài)網(wǎng)絡(luò)安全問題的萬金油，但它的確為推動(dòng)汽車網(wǎng)絡(luò)安全邁出了實(shí)質(zhì)性的第一步。

　　此外，車云菌還需要指出的是：汽車工業(yè)并非以建立車內(nèi)通信標(biāo)準(zhǔn)而獲名。考慮到越來越多的軟件進(jìn)入汽車，汽車業(yè)像傳統(tǒng)互聯(lián)網(wǎng)企業(yè)一樣，也遭遇了各種各樣的由「分片」引發(fā)的安全問題。因此，“SPY Car Act”法案中涉及的安全和隱私標(biāo)準(zhǔn)將針對(duì)數(shù)據(jù)分片問題進(jìn)行著重強(qiáng)調(diào)，這將為汽車制造商提供可量化的工具來確保汽車網(wǎng)絡(luò)安全。

　　由于控制相應(yīng)功能的ECU數(shù)量的不斷增加，導(dǎo)致對(duì)應(yīng)軟件代碼的規(guī)模在同比例不斷增加。而“SPY Car Act”法案中的安全標(biāo)準(zhǔn)將重點(diǎn)關(guān)注與這些ECU直接相連的重要系統(tǒng)(如轉(zhuǎn)向和剎車系統(tǒng))的安全問題，并提出了“要將重要系統(tǒng)進(jìn)行單獨(dú)隔離”的架構(gòu)措施。不過值得慶幸的是，目前還沒有出現(xiàn)因黑客入侵造成事故致死事件的發(fā)生。

　　除隔離重要系統(tǒng)的方法外，“SPY Car Act”法案出臺(tái)后會(huì)強(qiáng)制車企執(zhí)行針對(duì)黑客攻擊的“偵查，報(bào)告和響應(yīng)”措施，這也是法案中最難實(shí)現(xiàn)的部分。目前，主機(jī)廠并沒有針對(duì)聯(lián)網(wǎng)汽車安全漏洞有效的排查方法，甚至對(duì)車機(jī)系統(tǒng)的架構(gòu)并沒有我們想象地那么熟悉。這也是為什么需要車企與車企之間，車企與供應(yīng)商之間要通力配合的原因。

　　此外，與手持設(shè)備廠商們相比，各大汽車制造商在安全和隱私方面同樣面臨難題，傳統(tǒng)車企在數(shù)據(jù)管理方面并沒有太大優(yōu)勢(shì)。如今的汽車，基本上可以看作是一臺(tái)電腦加四個(gè)輪子，車主的數(shù)據(jù)必須受到重視和保護(hù)。“SPY Car Act”法案指出，在保護(hù)乘車人隱私數(shù)據(jù)方面，車主對(duì)主機(jī)廠收集到的車內(nèi)數(shù)據(jù)有知情權(quán)。而在不久的將來，如果有軟件需要使用車主的個(gè)人數(shù)據(jù)時(shí)，不論是出于營(yíng)銷還是廣告的目的，都必須事先經(jīng)過當(dāng)事人的同意。

　　最近一份來自弗若斯特沙利文咨詢公司的研究表明，購(gòu)買新車時(shí)，客戶把安全因素置于首位。對(duì)于現(xiàn)在具備聯(lián)網(wǎng)功能的車型而言，所謂安全應(yīng)該由兩部分組成：①堅(jiān)固耐用;②網(wǎng)絡(luò)安全，特別是那些需要與ECU通信的關(guān)鍵系統(tǒng)的安全。在不久的將來，消費(fèi)者不僅會(huì)看到關(guān)于汽車碰撞測(cè)試的評(píng)級(jí)，他們還會(huì)看到關(guān)于反黑客和數(shù)據(jù)盜竊行為的安全評(píng)級(jí)。

　　綜上來看，雖然「SPY Car Act」并非治愈汽車黑客的良方，但它對(duì)于未來聯(lián)網(wǎng)汽車的安全卻很有必要。這項(xiàng)法案如果成功推行，不僅能夠促進(jìn)網(wǎng)路安全標(biāo)準(zhǔn)的建立和實(shí)施，還可以幫助車企避免因召回造成巨大損失。以車云菌個(gè)人來看，隨著聯(lián)網(wǎng)汽車數(shù)量的不斷增長(zhǎng)以及功能的逐步完善，傳統(tǒng)車企完全可以借鑒特斯拉“通過OTA更新重要固件”的安全防護(hù)措施。目前幾乎所有的大型主機(jī)廠僅僅是利用OTA更新車機(jī)應(yīng)用，但如果能夠利用安全通道對(duì)重要系統(tǒng)隨時(shí)升級(jí)，類似通用的點(diǎn)火開關(guān)問題就可以一鍵式修復(fù)了。

　　小結(jié)：

　　誠(chéng)然，短期來看，“SPY Car Act”法案并不會(huì)重塑現(xiàn)有汽車行業(yè)的結(jié)構(gòu)，但它卻能夠很大程度上改變汽車網(wǎng)絡(luò)安全模式。雖然汽車制造商是車載系統(tǒng)的決策者和最終審批者，但安全聯(lián)盟在安全系統(tǒng)標(biāo)準(zhǔn)制定上也有舉足輕重的地位，在汽車網(wǎng)絡(luò)安全方面需要有政府的參與和行動(dòng)，因此互相合作是大勢(shì)所趨。