「SPY Car Act」草案的出臺，有望將聯(lián)網(wǎng)汽車安全問題提上重要議程，畢竟“安全”才是消費者購車的首要考慮因素。

　　克萊斯勒「網(wǎng)絡安全漏洞」召回案逐漸擴大，數(shù)量已經(jīng)達到了接近其年銷售額的一半，近140萬輛。鑒于其他主機廠也曾因網(wǎng)絡安全問題發(fā)出過不同程度的召回聲明，所以整個汽車行業(yè)是時候該上點心了。

　　然而要降低此類型召回的規(guī)模，僅憑一家主機廠顯然難以做到。目前，波音747上的軟件代碼才不過7500萬行左右，而一輛具備聯(lián)網(wǎng)功能的汽車上，軟件代碼竟多達3億行，這也導致了這些車型被黑客攻破的幾率非常高。那么問題來了。既然互聯(lián)網(wǎng)汽車的安全問題已經(jīng)不容小窺，那到底該由誰扛起安全防護的大旗呢?

　　SPY Car Act：米國人將聯(lián)網(wǎng)汽車安全提上立法議案

　　7月21日，國會議員Edward Markey、Richard Blumenthal聯(lián)合向參議院提交了一項新立法議案：汽車安全和隱私草案(Security and Privacy in Your Car Act，簡稱“SPY Car Act”)。一旦通過，這項立法將責成NHTSA(美國公路交通安全管理局)和FTC(聯(lián)邦貿(mào)易委員會)建立聯(lián)邦標準，以保護聯(lián)網(wǎng)汽車的安全。據(jù)悉，在《汽車安全和隱私草案》提交之前，并沒有類似監(jiān)管車載系統(tǒng)安全的規(guī)定。

　　此次召回，克萊斯勒美國公司將面臨1.05億美元的民事責任賠償，再加上召回過程產(chǎn)生的費用，其損失的金額多達數(shù)億美元。假如各車企之間能夠通力合作，此類召回事件的數(shù)量不僅能夠大幅降低，同時用戶體驗也能得到有效改善。盡管「SPY Car Act」草案的出臺能夠督促各車企加強對網(wǎng)絡安全問題的重視，但從整體而言，汽車行業(yè)這方面的底子還比較薄弱，甚至整個汽車行業(yè)對聯(lián)網(wǎng)汽車的安全問題認識不足。改變在所難免，弗若斯特沙利文咨詢公司(Frost & Sullivan)預測表示，未來兩到三年內(nèi)，整個汽車行業(yè)將會在網(wǎng)絡安全問題上投入相當精力。

　　其實早在這次Jeep被“黑客入侵”之前，就曾發(fā)生過路虎被黑客遠程控制后盜走;而一些經(jīng)驗豐富的黑客還可以透過寶馬Connected Drive車載系統(tǒng)的漏洞，隨意打開車內(nèi)門窗。等等這些事件都已經(jīng)清晰表明了汽車網(wǎng)絡安全威脅的真切存在，一旦”SPY Car Act”通過，里面針對聯(lián)網(wǎng)汽車安全問題提出的「三步法」能夠最大限度地降低黑客入侵的安全隱患。不過就車云菌個人來看，要搭建出100%安全的車機系統(tǒng)，對車企和整個汽車工業(yè)而言，都將面臨極大的挑戰(zhàn)，需要來自其他行業(yè)、零部件供應商等合作伙伴的協(xié)助。

　　當然，圍繞“SPY Car Act”進行的一些基礎工作和研究對打造車載系統(tǒng)安全生態(tài)至關重要，這是目前汽車產(chǎn)品研發(fā)缺少的一環(huán)。此外，要想實現(xiàn)從物理→數(shù)字→網(wǎng)絡儀表盤的階段式發(fā)展，這項法案中涉及的安全和隱私標準將發(fā)揮關鍵作用。不過盡管“SPY Car Act”并非能夠解決所有形態(tài)網(wǎng)絡安全問題的萬金油，但它的確為推動汽車網(wǎng)絡安全邁出了實質(zhì)性的第一步。

　　此外，車云菌還需要指出的是：汽車工業(yè)并非以建立車內(nèi)通信標準而獲名?？紤]到越來越多的軟件進入汽車，汽車業(yè)像傳統(tǒng)互聯(lián)網(wǎng)企業(yè)一樣，也遭遇了各種各樣的由「分片」引發(fā)的安全問題。因此，“SPY Car Act”法案中涉及的安全和隱私標準將針對數(shù)據(jù)分片問題進行著重強調(diào)，這將為汽車制造商提供可量化的工具來確保汽車網(wǎng)絡安全。

　　由于控制相應功能的ECU數(shù)量的不斷增加，導致對應軟件代碼的規(guī)模在同比例不斷增加。而“SPY Car Act”法案中的安全標準將重點關注與這些ECU直接相連的重要系統(tǒng)(如轉(zhuǎn)向和剎車系統(tǒng))的安全問題，并提出了“要將重要系統(tǒng)進行單獨隔離”的架構措施。不過值得慶幸的是，目前還沒有出現(xiàn)因黑客入侵造成事故致死事件的發(fā)生。

　　除隔離重要系統(tǒng)的方法外，“SPY Car Act”法案出臺后會強制車企執(zhí)行針對黑客攻擊的“偵查，報告和響應”措施，這也是法案中最難實現(xiàn)的部分。目前，主機廠并沒有針對聯(lián)網(wǎng)汽車安全漏洞有效的排查方法，甚至對車機系統(tǒng)的架構并沒有我們想象地那么熟悉。這也是為什么需要車企與車企之間，車企與供應商之間要通力配合的原因。

　　此外，與手持設備廠商們相比，各大汽車制造商在安全和隱私方面同樣面臨難題，傳統(tǒng)車企在數(shù)據(jù)管理方面并沒有太大優(yōu)勢。如今的汽車，基本上可以看作是一臺電腦加四個輪子，車主的數(shù)據(jù)必須受到重視和保護?！癝PY Car Act”法案指出，在保護乘車人隱私數(shù)據(jù)方面，車主對主機廠收集到的車內(nèi)數(shù)據(jù)有知情權。而在不久的將來，如果有軟件需要使用車主的個人數(shù)據(jù)時，不論是出于營銷還是廣告的目的，都必須事先經(jīng)過當事人的同意。

　　最近一份來自弗若斯特沙利文咨詢公司的研究表明，購買新車時，客戶把安全因素置于首位。對于現(xiàn)在具備聯(lián)網(wǎng)功能的車型而言，所謂安全應該由兩部分組成：①堅固耐用;②網(wǎng)絡安全，特別是那些需要與ECU通信的關鍵系統(tǒng)的安全。在不久的將來，消費者不僅會看到關于汽車碰撞測試的評級，他們還會看到關于反黑客和數(shù)據(jù)盜竊行為的安全評級。

　　綜上來看，雖然「SPY Car Act」并非治愈汽車黑客的良方，但它對于未來聯(lián)網(wǎng)汽車的安全卻很有必要。這項法案如果成功推行，不僅能夠促進網(wǎng)路安全標準的建立和實施，還可以幫助車企避免因召回造成巨大損失。以車云菌個人來看，隨著聯(lián)網(wǎng)汽車數(shù)量的不斷增長以及功能的逐步完善，傳統(tǒng)車企完全可以借鑒特斯拉“通過OTA更新重要固件”的安全防護措施。目前幾乎所有的大型主機廠僅僅是利用OTA更新車機應用，但如果能夠利用安全通道對重要系統(tǒng)隨時升級，類似通用的點火開關問題就可以一鍵式修復了。

　　小結：

　　誠然，短期來看，“SPY Car Act”法案并不會重塑現(xiàn)有汽車行業(yè)的結構，但它卻能夠很大程度上改變汽車網(wǎng)絡安全模式。雖然汽車制造商是車載系統(tǒng)的決策者和最終審批者，但安全聯(lián)盟在安全系統(tǒng)標準制定上也有舉足輕重的地位，在汽車網(wǎng)絡安全方面需要有政府的參與和行動，因此互相合作是大勢所趨。