消費者們應該有意識到他們的車子可能會被駭客攻擊這件事;我們現在已經知道電影裡那種遠端駭客的情節,是真的可能發生。但目前的現實是,雖然有各種連結技術已經移植到車子上,卻沒有佈署對等的安全技術。

當然,汽車駭客會是車廠們在將連網汽車推銷給廣大消費者時最不想提起的;但美國與英國政府主管機關,則是努力走在前面,要讓大眾知道他們關心這件事。如英國交通部長Martin Callanan所言:「無論是我們要將車輛變成Wi-Fi連結熱點,或是讓車子配備數百萬行程式碼、以實現全自動駕駛,保護車子不受到網路攻擊都非常重要。」

Callanan是在上周英國交通部公開宣佈新的指導原則,要求生產連網車輛的廠商採取更嚴苛的網路保護策略,以確保能更強勢防堵駭客。而不只是英國,美國的國家高速公路交通管理局(NHTSA)也在去年秋天向汽車產業提出了聯邦準則(federal guidance),以提升馬達車輛的網路安全性。

所以我們都可以高枕無憂、對政府有信心嗎?先別急…筆者還想到以下幾個問題:

  1. 美國NHTSA與英國交通部發佈的準則,是否具備對連網安全性執法能力?
  2. 更重要的是,他們是否提供了足夠的有效網路安全措施?
  3. 美國與英國的提案有哪些差異?

如同市場研究機構Strategy Analytics的全球連網汽車市場研究總監Roger Lanctot告訴我們的:「今天所有的工作以及準則,都只是建議而非強制立法;」在他看來,一切有可能成真:「在財務以及責任歸屬問題實際被定義之後。」

Lanctot指出,連網汽車的的弱點很多,包括診斷用連接埠、業餘愛好者/狂熱份子、經銷商、供應商/供應鏈以及恐怖份子,更不用說還有人為疏失、設計錯誤,以及各種跨領域、不同標準的車內系統管理;隨著汽車變身為不斷線的運算裝置,面臨車上如此多必須保護的領域,全面性的準則並不容易訂定,而且:「主管機關需要證明他們真的有在做事。」

安全專家們又是如何看待那些政府準則的發展?安全技術開發商OnBoard Security產品副總裁Gene Carter認為:「英國與美國政府公佈的準則都包含了基本的安全原則;」他解釋,這類措施應該要讓任何一家會將硬體或軟體連網的公司遵循,需要包含透過設計達到的安全性,深度防禦、最小權限原則(principles of least privilege)等等。

Carter的看法是,那些是基礎:「我會希望汽車製造商已經從IT世界的經驗學到夠多教訓,而且他們應該已經正在做那些基本的事情。」

有少數包括Carter在內的專家,指出英國政府的準則在弱點被發現之後的軟體更新方面遠遠不足,該準則只提到了如何在系統生命週期之內維護安全性的組織計畫;他的觀點是:「支援空中下載(OTA)更新應該會是對汽車業者的要求,車廠不可能打造一輛在產品的10~20年生命週期中都不可能有弱點的車子。」

他解釋,若沒有OTA,車廠就得仰賴車主在每一次有新的弱點發現時將主動車子開回保養廠,而這會讓許多車輛都暴露在已知的攻擊風險中,而OTA則能讓風險中的車輛立即取得修正。汽車廠商當然也能透過提供OTA省下很多召回車輛的成本,因此它們自己也會朝向支持該技術:「我還是認為英國政府該明列該技術的使用,而不是含糊其辭。」

在此同時,汽車網路安全技術開發商Karamba Security共同創辦人暨董事長David Barzilai針對英國政府公佈的準則發表意見,同時對他們可能採取的先發制人行動表示讚許;他指出,在某個方面:「我們並沒有感覺到那些準則足夠有效防範汽車駭客。」他所提到的那個方面,也是關於如何處理安全性漏洞。

Barzilai表示,他的公司已經針對與快速進展的自動駕駛技術相關之風險提出警告:「可能有成千隱藏的安全性漏洞的車輛導入量產,這是不可避免的;所有的軟體都有漏洞,而且每一輛車會有100~100萬行程式碼。」

他進一步解釋:「隨著自動駕駛車輛變得越來越複雜,以及更多人類導航任務例如觀察周遭、轉向等移交給車輛,危險會隨之增加;駭客能透過汽車的網際網路連結入侵車輛,並用他們的方法取得車子其他部份的控制權。」

Barzilai表示,實際上汽車擁有很重要的啟動網路安全能力,不應該被忽視:「上路的汽車應該如同在工廠內運轉時那樣,任何未經授權的出廠設定改變,一定是惡意軟體;將汽車對外連結的控制器根據出廠設定強化,能在駭客嘗試尋找安全漏洞並成功入侵車輛之前防止網路攻擊,也不用頻繁針對該領域發送安全修補程式。」

當然,Karamba Security 有他們推廣這種觀點的理由,該公司開發了一種獨特的ECU強化方法,其軟體Carwell會針對任何不清楚是否為出廠設定的狀況發出警報;Barzilai解釋:「我們用一種不會傷害ECU的方法來打造安全策略。」

英美官方連網汽車安全策略的差異

英國與美國政府各自的連網汽車安全準則有一些差異,其中之一是關於網路安全問題的責任,是歸屬於汽車廠商的哪個職位來負責。對此Carter表示:「我很高興看到英國將網路安全的個人責任歸屬,指向董事會層級;沒有指出這樣的責任歸屬,安全問題太容易被其他優先項目跳過,例如預算不足、時程延宕等等。」

他認為,英國交通部的方案比美國NHTSA的準則更廣泛;舉例來說,NHTSA主張業者可以透過指定高階企業主管專門或直接負責產品的網路安全,而英國政府提出的則是「董事會層級責任歸屬」,會比指定一位網路安全專屬主管更能改變企業文化,而且兼具雙重效果。

隱私權則是另一個英國交通部提出與美國NHTSA不同方法的部份;Carter發現,英國交通部的準則主張「使用者能刪除系統中以及連網系統中保存的敏感性資料」,而美國NHTSA則談到保護私人資料,但對於使用者的資料控制權著墨不多:「任何關心隱私權的人,會發現英國政府的準則比NHTSA的進步。」

汽車業者的反應是…

值得注意的是,汽車廠商並沒有表示支持。汽車廠商在2015年成立了一個名為Auto-ISAC (Automotive Information Sharing and Analysis Center;汽車資訊分享與分析中心)的單位,旨在建立全球性社群,因應連網汽車安全風險;根據該組織的官方網站,他們經營了一個分享、追蹤並分析網路威脅、漏洞以及相關事件的中樞。

Strategy Analytic的Lanctot指出,「最低限度」的安全性措施,正在Auto-ISAC最新的最佳實踐案例被定義中;在此刻,英國與美國政府公佈的準則,似乎並未對汽車廠商有實質影響。不過英國政府在上週表示也在規劃新立法,以規範自動駕駛車輛的保險。

畢竟,自動駕駛車輛問世面臨嚴重的法律障礙;英國政府表示,保險業者與立法者嘗試釐清事故的責任歸屬原則,將相關措施立法,意味著要確保現代的車輛在技術失靈時能為消費者提供保障。Lanctot表示:「目前尚未看到任何結果,但很快會出來。」

編譯:Judith Cheng

(參考原文: Auto Security: Do Feds Have Our Back?,by Junko Yoshida)