在自動駕駛和車聯網的時代，汽車的信息網絡安全成為更需要重點保護的領域。

　　就在上個月，安全研究公司UpGuard Cyber Risk披露稱，特斯拉等百余家車廠機密數據泄露，公共服務器未“上鎖”讓一些隱秘的內部數據信息唾手可得。據悉，來自100多家制造公司的敏感文件——包括通用汽車、菲亞特克萊斯勒、福特特斯拉豐田蒂森克虜伯和大眾，都暴露在屬于Level One Robotics的公共服務器上。

　　通用汽車發布高額漏洞懸賞計劃

　　通用汽車近日發布了一項高額的漏洞懸賞計劃，要讓程序員們為其挖掘潛在的網絡安全問題和產品的潛在弱點。

　　這些程序在軟件和技術公司中屢見不鮮。而隨著通用汽車準備推出自動駕駛汽車和更多機遇服務的計劃，暴露出來的漏洞也越來越顯得突出。

　　“整體來看，威脅等級只會從這里增長，這就是為什么我們投入如此多的精力和資源來保持領先，并迅速迭代的原因，”通用汽車總裁丹·阿曼周五表示在底特律的比林頓網絡安全峰會上發表演講。

　　由Ammann周五宣布的通用汽車計劃預計將于夏季結束。它將包括一組約10名或更少的研究人員，也被稱為“白帽黑客”。

　　“我們將向他們展示我們懸賞中設計的產品、計劃和系統。”Ammann說。通用汽車全球網絡安全副總裁Jeff Massimilla表示，這些組員是從參與通用汽車漏洞披露計劃的500多名研究人員中選出的。

　　通用汽車曾于2016年與HackerOne一起推出了漏洞計劃，HackerOne是一個友好的黑客平臺，用于識別工作。該計劃自2016年1月啟動以來，已發現700多個漏洞。

　　“我們通過披露計劃啟動了這項工作，但我們真正看到的是我們希望他們的專業知識真正用于產品，”Massimilla表示：“我們將關注我們產品中風險最高的系統。”

　　Massimilla說，賞金計劃將根據他們可能發現的“錯誤”為研究人員提供“大筆資金”。他拒絕透露確切的付款金額。

　　汽車行業面臨日益嚴峻的網絡安全攻擊威脅

　　近年來，人們在受控模擬中發現了越來越多的汽車黑客攻擊行為。2015年夏天，汽車行業受到一系列備受矚目的黑客攻擊——他們一般遠程解鎖車門，打開擋風玻璃刮水器，干擾轉向，甚至在高速公路攔下一輛Jeep Cherokee。

　　安全研究人員克里斯·瓦拉塞克(Chris Valasek)和查理·米勒(Charlie Miller)在2015年的實際測試中遠程攻擊了2014推出版本的吉普切諾基(Jeep Cherokee)。他向車輛刷入了帶有病毒的固件，并對CAN總線發送指令控制汽車。

　　據悉，Charlie Miller自2015年起，先后在Uber 實驗室、滴滴硅谷實驗室擔任高級安全工程師，開啟了自動駕駛汽車網絡安全研究的生涯;2017年，他又進入到通用旗下的Cruise Automation擔任自動駕駛安全首席架構師。

　　汽車行業也已經深知——聯網汽車越來越可能成為黑客入侵的對象，而這一類型的汽車在不斷猛增。盡管如此，許多汽車制造商的車輛在這方面的保障進展緩慢，讓黑客變得更為猖獗。據稱，有黑客花了3年時間專門開發技術進行偷盜，最終這導致美國召回了140萬輛汽車。

　　IHS Markit預計這一“黑Jeep”事件給菲亞特克萊斯勒造成了4550萬美元(3700萬歐元)的損失，并強調了汽車行業在安全性方面落后于消費電子產品的程度有多嚴重。

　　除了Jeep之外，包括福特、通用汽車、豐田和大眾在內的大多數主要汽車制造商都有這樣或那樣的黑客入侵事故，即便是特斯拉這樣以高科技為噱頭的制造商也無法幸免。

　　掌握網絡安全控制的主動權

　　嵌入式軟件解決方案公司Elektrobit的總裁兼董事總經理亞歷山大·科切爾解釋說：“當汽車變得與網絡連接更緊密時，黑客犯罪的影響范圍更大。” “他們可以完全進入汽車，甚至操縱很多輛車，這可能會造成更大的傷害。例如，可以在道路上停下整個車隊。犯罪分子可能將車輛扣為人質，并索要贖金，或操縱車輛造成致死事故。”

　　圍繞控制子供應鏈，保護聯網汽車回路以及確保即使車輛遭到黑客攻擊也可以繼續運行，這些方面也存在問題。

　　推動聯網汽車的安全化，推動制造商之間、傳統供應商之間達成了更緊密的合作，還因此出現了諸多并購。在產業鏈的下游，還有大量精通網絡的IT和初創企業被大型供應商搶購，這些供應商熱衷于訪問其跨越式技術，以解決諸如行業內軟件能力嚴重不足等限制性問題。領導網絡安全創新的是以色列，目前估計有50多家年輕公司在這一領域的不同行業進行合作，未來還會有更多企業涌現出來。

　　威脅=巨大的機會

　　美國IHS Markit的高級汽車技術分析師科林·伯德估計，該行業的收入“在2017年底達到3000多萬美元，預計到2024年將超過20億美元。大約90%的布局仍然有待填補，因此有巨大的機會。在一個100%的潛力市場中，目前只涌進了4%-5%的企業。”

　　目前，汽車網絡安全主要集中在三個主要市場：北美，西歐和日本。毫無疑問，那些已經準備好從中搶得一杯羹的參與者將會包括博世、哈曼、大陸以及霍尼韋爾等領先的汽車供應商和思科等跨國網絡公司。

　　分析師Frost&Sullivan的汽車連接專家Krishna Jayaraman表示，汽車公司目前在安全方面的IT預算中只占3%至7%，但隨著“獲取軟件服務和安全功能的投資”，這將大幅增長繼續獲得動力，安全將成為研發預算的一部分。”

　　實際上，這個過程已經在不斷醞釀之中。2015年-2016年，哈曼花費超過10億美元(8.1億歐元)購買了TowerSec、Red Bend軟件和Symphony Teleca，而大陸集團去年11月以4億美元(3.25億歐元)的價格收購了以色列擁有的網絡安全公司Argus。

　　Jeep還將矛頭對準了立法者的緩慢行動，他們突然意識到——由于大多數車輛到2020年將具有一定程度的聯網功能，他們需要在他們認為安全責任所在的位置采取立場，特別是在出現問題時。因此，法律和立場文件正在變得越來越快。據報道，歐盟的網絡安全機構正在考慮向與其他關鍵領域(如食品安全)類似的聯網汽車頒發證書。“黑Jeep”事件還啟發了美國的立法系統，推動參議員擬定了新的汽車安全法案和數字安全標準。

　　立法者似乎認為，這個行業，尤其是高級管理人員，已經停止了這種做法。截至去年8月，英國政府聲明的立場是，網絡安全應該在董事會層面負責管理和改進。“我們已經看到了提供這些網絡安全計劃的公司的高層管理人員將承擔個人責任的舉措。”Elektrobit的Kocher說。

　　為了搶在黑客的進度前面，汽車行業于2015年成立了汽車信息共享和分析中心。其作用是識別和跟蹤潛在的網絡威脅。Kocher承認，“我們認識到擁有100%的網絡安全并不是現實”。然而，Kocher希望看到的是一種可以盡快控制黑客攻擊的情況。 “有不同的技術可用，例如入侵檢測軟件和異常檢測。”他說。

　　“那么你需要能夠非常快速地分析這些信息的技術，以保護車輛免受攻擊，并在任何地方修復泄漏。當你擁有一個設計良好的系統時，目標就是在幾個小時內停止攻擊。”

　　數據處理與保護成自動駕駛汽車關鍵

　　特斯拉和Waymo都試圖收集和處理足夠的數據，以創造一輛可以自動駕駛的汽車。他們正在以不同的方式處理這些問題。特斯拉正在利用其在道路上行駛的數十萬輛汽車，收集有關這些車輛在目前半自治系統Autopilot下如何行駛(以及它們可能如何執行)的真實數據。 Waymo開始了谷歌的自駕車項目，它使用強大的計算機模擬，并將它從中學到的東西提供給一個更小的現實世界的車隊。

　　但收集數據是一回事，處理數據也是一項艱巨的任務，尤其是保護數據安全的時候。從頻頻曝出的數據泄露事件中，汽車廠商們是時候來一波大整頓了。