SPY Car Act草案出台 为联网汽车造座城池？

克莱斯勒「网络安全漏洞」召回案逐渐扩大，数量已经达到了接近其年销售额的一半，近140万辆。鉴于其他主机厂也曾因网络安全问题发出过不同程度的召回声明，所以整个汽车行业是时候该上点心了。

然而要降低此类型召回的规模，仅凭一家主机厂显然难以做到。目前，波音747上的软件代码才不过7500万行左右，而一辆具备联网功能的汽车上，软件代码竟多达3亿行，这也导致了这些车型被黑客攻破的几率非常高。那么问题来了。既然互联网汽车的安全问题已经不容小窥，那到底该由谁扛起安全防护的大旗呢？

SPY Car Act：米国人将联网汽车安全提上立法议案

7月21日，国会议员Edward Markey、Richard Blumenthal联合向参议院提交了一项新立法议案：汽车安全和隐私草案（Security and Privacy in Your Car Act，简称“SPY Car Act”）。一旦通过，这项立法将责成NHTSA（美国公路交通安全管理局）和FTC（联邦贸易委员会）建立联邦标准，以保护联网汽车的安全。据悉，在《汽车安全和隐私草案》提交之前，并没有类似监管车载系统安全的规定。

此次召回，克莱斯勒美国公司将面临1.05亿美元的民事责任赔偿，再加上召回过程产生的费用，其损失的金额多达数亿美元。假如各车企之间能够通力合作，此类召回事件的数量不仅能够大幅降低，同时用户体验也能得到有效改善。尽管「SPY Car Act」草案的出台能够督促各车企加强对网络安全问题的重视，但从整体而言，汽车行业这方面的底子还比较薄弱，甚至整个汽车行业对联网汽车的安全问题认识不足。改变在所难免，弗若斯特沙利文咨询公司（Frost & Sullivan）预测表示，未来两到三年内，整个汽车行业将会在网络安全问题上投入相当精力。

其实早在这次Jeep被“黑客入侵”之前，就曾发生过路虎被黑客远程控制后盗走；而一些经验丰富的黑客还可以透过宝马Connected Drive车载系统的漏洞，随意打开车内门窗。等等这些事件都已经清晰表明了汽车网络安全威胁的真切存在，一旦”SPY Car Act”通过，里面针对联网汽车安全问题提出的「三步法」能够*大限度地降低黑客入侵的安全隐患。不过就车云菌个人来看，要搭建出****安全的车机系统，对车企和整个汽车工业而言，都将面临*大的挑战，需要来自其他行业、零部件供应商等合作伙伴的协助。

当然，围绕“SPY Car Act”进行的一些基础工作和研究对打造车载系统安全生态至关重要，这是目前汽车产品研发缺少的一环。此外，要想实现从物理→数字→网络仪表盘的阶段式发展，这项法案中涉及的安全和隐私标准将发挥关键作用。不过尽管“SPY Car Act”并非能够解决所有形态网络安全问题的万金油，但它的确为推动汽车网络安全迈出了实质性的**步。

此外，车云菌还需要指出的是：汽车工业并非以建立车内通信标准而获名。考虑到越来越多的软件进入汽车，汽车业像传统互联网企业一样，也遭遇了各种各样的由「分片」引发的安全问题。因此，“SPY Car Act”法案中涉及的安全和隐私标准将针对数据分片问题进行着重强调，这将为汽车制造商提供可量化的工具来确保汽车网络安全。

由于控制相应功能的ECU数量的不断增加，导致对应软件代码的规模在同比例不断增加。而“SPY Car Act”法案中的安全标准将重点关注与这些ECU直接相连的重要系统（如转向和刹车系统）的安全问题，并提出了“要将重要系统进行单独隔离”的架构措施。不过值得庆幸的是，目前还没有出现因黑客入侵造成事故致死事件的发生。

除隔离重要系统的方法外，“SPY Car Act”法案出台后会强制车企执行针对黑客攻击的“侦查，报告和响应”措施，这也是法案中*难实现的部分。目前，主机厂并没有针对联网汽车安全漏洞有效的排查方法，甚至对车机系统的架构并没有我们想象地那么熟悉。这也是为什么需要车企与车企之间，车企与供应商之间要通力配合的原因。

此外，与手持设备厂商们相比，各大汽车制造商在安全和隐私方面同样面临难题，传统车企在数据管理方面并没有太大优势。如今的汽车，基本上可以看作是一台电脑加四个轮子，车主的数据必须受到重视和保护。“SPY Car Act”法案指出，在保护乘车人隐私数据方面，车主对主机厂收集到的车内数据有知情权。而在不久的将来，如果有软件需要使用车主的个人数据时，不论是出于营销还是广告的目的，都必须事先经过当事人的同意。

*近一份来自弗若斯特沙利文咨询公司的研究表明，购买新车时，客户把安全因素置于首位。对于现在具备联网功能的车型而言，所谓安全应该由两部分组成：①坚固耐用；②网络安全，特别是那些需要与ECU通信的关键系统的安全。在不久的将来，消费者不仅会看到关于汽车碰撞测试的评级，他们还会看到关于反黑客和数据盗窃行为的安全评级。

综上来看，虽然「SPY Car Act」并非治愈汽车黑客的良方，但它对于未来联网汽车的安全却很有必要。这项法案如果成功推行，不仅能够促进网路安全标准的建立和实施，还可以帮助车企避免因召回造成巨大损失。以车云菌个人来看，随着联网汽车数量的不断增长以及功能的逐步完善，传统车企完全可以借鉴特斯拉“通过OTA更新重要固件”的安全防护措施。目前几乎所有的大型主机厂仅仅是利用OTA更新车机应用，但如果能够利用安全通道对重要系统随时升级，类似通用的点火开关问题就可以一键式修复了。

车云小结：

诚然，短期来看，“SPY Car Act”法案并不会重塑现有汽车行业的结构，但它却能够很大程度上改变汽车网络安全模式。虽然汽车制造商是车载系统的决策者和*终审批者，但安全联盟在安全系统标准制定上也有举足轻重的地位，在汽车网络安全方面需要有政府的参与和行动，因此互相合作是大势所趋。

附录：SPA Car Act 的「三步法」措施

① 车企为所有待售车型安装的电子系统必须要采取有效防“黑”措施；

②结合**步措施，主机厂在进行车机系统架构时，应该将重要系统和非重要系统进行隔离；

③ 在产品正式投放市场前，主机厂应该在遵循安全准则的情况下，对车机系统进行*大限度的“入侵攻击”，以测试系统是否存在安全漏洞和风险隐患。