汽车互联互通的网络安全威胁论

面向未来，尽管汽车的互联互通有能力丰富和增加了整个产业链的未来新增商业价值，但也并非没有风险。在过去几年，网络安全威胁也是真实存在的，甚至已经出现几次召回。

2015年，菲亚特克莱斯勒不得不召回将近140万辆汽车，因为车辆可能会遭到无线攻击的情况，接管了仪表盘、方向盘、动力系统，甚至是刹车系统的控制。

2016年，日产不得不关闭其专为Leaf系列开发的应用程序NissanConnected EV。他们发现，黑客可以侵入汽车的气候控制和其他电池操作功能，以耗尽电池。

2015年，全球约有650万辆联网汽车，到2017年，这一数字几乎翻了一番，达到1250万辆。据估计，到2020年，将有多达2.5亿辆联网车辆上路。

随着新车不断搭载更多的智能驾驶、车载互联功能，越来越多的电子控制单元和代码，是的整车的硬件及软件系统变得越来越复杂。更关键是，目前的供应链是支离破碎的（大部分车型仍然基于现有的电子电器架构），而汽车系统的高集成趋势可能会带来更大的风险。

一方面，整体安全解决方案应该覆盖从产品的设计、开发方式以及维护和响应体系。其次，汽车制造商应该更多关注协同合作、监管机构的关切以及最终用户的体验，他们必须不断保护汽车的安全。

由于OTA的兴起，很多汽车制造商甚至有了“侥幸心理”，提倡所谓的快速迭代机制来尝试“事后规避”策略。但真正的安全体系，必须只有在设计产品时考虑到安全性，产品才能安全，后期的快速修复可能会增加成本，也同样增加系统的复杂性。

可以预见的是，未来的汽车设计必须是将这些网络安全问题整合到早期的功能开发阶段，而不是不断的打补丁。

当然，OTA对于未来车联系统来说显然是必不可少的，因为它可以帮助OEM快速反击“漏洞攻击”，并在恶意软件利用它们之前消除特定的漏洞。

然而，这些好处是有代价的，实现对OTA更新的支持是相当复杂和昂贵的，无论是对汽车还是后端基础设施。OEM厂商必须在预期的效率水平与成本之间进行权衡。

有研究表明，尽管安全问题已经在汽车行业引起了共鸣，但终端用户基本上忽视了这个问题。

在此前的一份抽样调查中，很少有司机担心汽车遭到黑客攻击，大多数司机认为联网应用程序和Wi-Fi网络是不错的功能。

oem厂商必须考虑通过培养网络安全文化（例如，通过车载屏幕引导和警示）或推动在驾照考试中引入网络安全问题来提高他们的意识。

至于行业标准方面，虽然越来越多的监管机构开始关注汽车行业的网络安全，但正式规则的定义仍处于初级阶段。

因为与个人电脑和智能手机不同，产品寿命周期较短，且多数安全漏洞仅仅是涉及到个人隐私和财产安全，而汽车在生产出来后，将需要多年甚至几十年保持安全，很多甚至涉及到人身安全。

最初的汽车网络架构已经有将近30年的历史了，出于各种各样的原因被设计出来，但安全性不在其中。这些系统的设计丝毫没有考虑到车辆会被黑客攻击。

而随着联网和自动驾驶汽车逐步开始进入公共道路，网络安全合作与投资正成为汽车制造商和相关软硬件供应商的战略重点。

今年9月，360与比亚迪正式签约合作，核心是为比亚迪汽车装上“安全大脑”，这也是配合比亚迪汽车传感系统和执行系统首次大规模开放。

360集团智能网联汽车安全事业部总经理刘健皓介绍，基于360安全大脑，此前360智能网联汽车安全实验室已经成为国内80%汽车自主品牌的安全解决方案提供者，到2018年底，将有60万辆汽车搭载360汽车安全解决方案。

早前，威马汽车已经与360合作开发网络安全防护系统，360提供车载安全中央网关、车载网络安全基础防护、“汽车卫士”等多个安全防护模块，这套安全防护系统搭载在威马首款量产车EX5。

此外，更多的初创公司也在进入汽车网络安全领域。

以色列初创公司Karamba Security发布了联网汽车安全系统，防止黑客在汽车系统上运行任何恶意代码，如车道辅助、信息娱乐和GPS跟踪。

另一家初创公司是Argus网络安全公司，公司帮助汽车制造商、一级供应商和售后连接供应商保护联网汽车和商用汽车免受黑客攻击。

今年早些时候，汽车信息安全初创公司VisualThreat也宣布完成A轮融资，由百度投资。公司定位端到端的汽车信息安全和汽车数据实时分析解决方案。先后和多家车厂、德国TUV等展开合作。

这些初创公司，也很快成为传统Tier1的合作伙伴及收购对象。

大陆集团在今年7月宣布与子公司Elektrobit (EB) 和 Argus推出端到端的网络安全和在线软件更新(OTA) 解决方案。这些解决方案将预先集成到车载通讯单元、信息娱乐系统、网关等汽车电子产品中。

大陆集团车身电子事业部战略负责人Werner Koestler表示：“就像刹车对于安全驾驶来说是必不可少的一样，先进的网络安全技术就是联网汽车必须具备的一项基本配置。”

大陆集团希望通过EB 和 Argus为所有联网汽车电子产品配备端到端网络安全解决方案，并将其作为面向第三方产品的独立解决方案。

而博世旗下也有一家名为Escript的子公司，专注于高度互联的车辆的信息安全。Escrypt在2004年成立，最早是德国波库大学一个学院的研究项目。成立之后的第一个项目就是给博世旗下的另外一家多媒体公司Blaupunkt提供了一套车载Security的方案，随后在2012年被ETAS（博世全资子公司）收购，成为ETAS旗下的一家子公司。

而在去年的交通出行科技体验日上，博世也亮相了名为Cross-Domain Communication的中央网关产品，搭载的Connectivity Control Unit，也是所有车外数据进入到车内的关卡，通过防火墙与入侵检测等手段，来拦截非法的外界命令。

所以这些布局，也受到整体安全风险的增长所推动。

在2018年，网络罪犯(业界称其为黑帽)攻击的数量超过了白帽(闯入受保护系统以测试和评估其安全的安全专家)事件的数量，这是智能移动领域历史上的第一次。

现在来看，汽车互联安全涉及到多层次，这包括用于近距离攻击的车内攻击、用于多辆车的汽车云安全、服务和应用程序，以及用于体系结构网络端的网络安全。这其中，42%的汽车网络安全事件将涉及后端应用服务器。

有国外机构预测，网络黑客攻击可能会在5年内让汽车业损失240亿美元。联网汽车、自动驾驶汽车、共享出行服务等正以惊人的速度增加复杂性和风险。