拜登政府希望将个人、小企业和地方政府的网络安全负担转移给汽车制造商和其他大公司。
白宫的国家网络安全战略呼吁“最有能力、最有条件降低风险的组织”承担这一责任。
一些行业观察家认为,最终结果将使越来越依赖软件的汽车网络安全在很大程度上成为自愿行为。这是因为白宫的战略只是建议,而非强制。
“软件定义的汽车”与智能手机一样,可以收集用户数据,并提供可通过无线方式更新的功能。这些功能包括允许驾驶员通过手机启动汽车的数字钥匙,以及监测用户心跳和呼吸频率的系统。
但汽车行业表示,随着更复杂的软件定义的汽车进入市场,在这个不断发展的行业中,网络安全责任应由汽车公司、行业和政府机构共同承担。
汽车创新联盟(Alliance for Automotive Innovation)负责技术、创新和移动政策的副总裁希拉里·凯恩(Hilary Cain)在一份声明中说:“汽车正越来越多地融入由互联基础设施、设备和功能组成的更广泛的生态系统,其中许多都超出了汽车公司自身的控制范围。汽车创新联盟是一个代表汽车制造商及其供应商利益的行业协会。”
呼吁自愿和要求强制
美国的汽车网络安全遵循自愿制度管理。
2016年,主要承担车辆安全评估和交通事故调查工作的美国国家公路交通安全管理局(National Highway Traffic Safety Administration,简称NHTSA)首次发布了《现代汽车安全网络安全最佳实践》文件。这些标准最近一次更新是在2022年,当时该局警告汽车制造商要防止自动驾驶和高级驾驶辅助系统中使用的激光雷达和雷达传感器产生的数据可能被篡改。
美国国家公路交通安全管理局呼吁汽车制造商防范激光雷达和雷达干扰、GPS欺骗、远程路标修改、摄像头遮挡以及黑客手段,并防止这些系统中的人工智能产生误报数据。
以色列汽车网络安全公司GuardKnox的首席执行官摩西·什利塞尔(Moshe Shlisel)说,在汽车网络安全方面,美国汽车行业需要的是法规而不是建议。
“目前在美国,这方面的法规并不是强制性的。”什利塞尔说,“美国汽车制造商没有充分审查他们在汽车上安装的应用程序。”
美国应该效仿欧盟和联合国欧洲经济委员会的58个成员国,因为它们已经制定了更严格的法规。
欧盟的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)保护与个人相关的个人数据。欧盟委员会的第155号和156号法规规定了汽车网络安全系统和软件更新协议。这些法规要求汽车制造商保护汽车软件系统和客户的个人数据免受网络威胁,同时建立记录和管理网络攻击的流程。
在汽车行业的商业模式中,硬件和软件在很大程度上是交织在一起的。但是,汽车制造商正在将汽车功能转变为软件服务模式,例如利用人工智能学习驾驶员的舒适度设置或为客户提供实时交通信息的功能,从而可能带来数十亿美元的收入。
麦肯锡咨询公司(McKinsey & Co)的数据显示,全球汽车软件市场将从2019年的310亿美元增长到2031年的800亿美元。
近年来,汽车制造商推出了一些功能,用户只需支付额外费用,就可以为车辆添加这些功能,包括驾驶辅助系统和集成音乐与视频流的信息娱乐系统。
GuardKnox和其他此类公司在新兴的汽车网络安全产业中也拥有既得利益。
2022年,汽车网络安全产业全球市场价值32亿美元。据市场研究公司Market.us称,到2032年,这一数字有望增长到222亿美元。
还是车企承担这一切
华盛顿特区汽车消费者权益组织汽车安全中心(Center for Auto Safety)首席法律顾问迈克尔·布鲁克斯(Michael Brooks)说,政府应该对汽车行业实施网络安全标准。虽然拜登政府的指导意见为美国政府和行业参与者之间的合作伙伴关系奠定了基础,但它远非最终的指导意见。
“具体内容非常缺乏。”布鲁克斯说,“他们没有提出网络安全标准或最低限度的升级预防标准。没有任何指令说明需要采取哪些行动来专门保护车辆和其他各种交通工具免受这些网络威胁。”
(图源:VCG)
布鲁克斯说,美国汽车制造商不希望被迫证明自己符合严格的标准规范,他们反对美国交通部对汽车网络安全进行监管。
汽车创新联盟(Alliance for Automotive Innovation)发言人布莱恩·韦斯(Brian Weiss)表示,该组织支持美国国家公路交通安全管理局和汽车信息共享与分析中心(Automotive Information Sharing and Analysis Center,简称Auto-ISAC)(一个不同的行业组织)制定的自愿性网络安全标准。
“由于网络威胁是动态的、不断变化的,我们对规定性的、不灵活的监管标准表示担忧。”他说,“公私合作模式加上自愿指导才是首选。”
尽管美国不是联合国网络安全法规的签署国,但美国汽车制造商仍应遵守该法规。
各大汽车制造商表示,坚持为客户做“正确的事”。
通用汽车公司首席网络安全官凯文·蒂尔尼(Kevin Tierney)表示,将产品推向市场的组织应该对其安全性负责。
蒂尔尼是一个联邦咨询委员会的成员,该委员会为改善国家网络安全提供指导。他还是汽车信息共享与分析中心的副主席,该中心由汽车制造商组成,负责共享有关潜在网络威胁、漏洞和事故的信息。
“长期以来,通用汽车一直处于领先地位,并在网络安全方面进行投资,没有将成本转嫁给消费者。”蒂尔尼在给Automotive News的一份声明中说,“我们将继续成为这一领域的领导者,为我们的客户做正确的事情。”
Stellantis认为汽车网络安全是一项协作性更强的工作。
“Stellantis 是一家以客户为中心的公司,我们非常重视产品和运营的网络安全。” Stellantis发言人说,“多方利益相关者之间的合作互动可以带来强大的网络安全战略。”