网络安全：自动驾驶汽车的阿喀琉斯之踵？

赵新华

公司业务部丨资深律师

在现代互联世界，黑客入侵成为一个永远存在的危险。黑客可以入侵系统窃取数据和银行账户信息、攻击目标网站，登录政府网站以及进行其他各种邪恶行动。

但是想象一下，如果黑客的目标不是台式电脑、网站或是手机，而是汽车。我们已经看到过汽车被恐怖分子当作武器后发生的悲剧。

在无人驾驶汽车的世界里，黑客可以攻击车队。车队由100辆左右的汽车组成，每辆车单独拥有超过1亿行的代码，所有车辆相互连接并交换数据。

这其中有着许多需要应对的隐患和风险。网络安全是自动驾驶汽车的一个核心挑战。

这可不是理论上的风险。2015年，在一批黑客展示了他们可以通过互联网远程劫持一辆吉普车的数据系统后[1]，汽车制造商克莱斯勒宣布召回140万辆汽车。还有许多其他报道显示黑客和安全研究人员证明他们有能力远程非法入侵网联汽车并能控制汽车的关键功能，如刹车和加速。[2]

最近的进展显示，随着网联汽车数量的增长，这些车辆将容易受到远程无钥进入的攻击。[3]

物联网使得越来越多的设备互联，而自动驾驶汽车将使连通性急剧增长。这种连通性将极大地增加汽车成为网络攻击目标的可能性。

问题在于如何保护车辆的重要系统和相关个人信息免受攻击。尤其必须保护那些保障车辆安全的系统和部件免受恶意攻击、未经授权的访问、破坏，或任何可能对安全功能造成干扰或危害的行为。

正如通用汽车CEO Mary Barra 指出，网络安全事故对全世界每个汽车制造商都是一个问题，并且还涉及到公共安全问题。[4]如果这个问题没有得到妥善解决，那么网络安全风险将可能威胁到整个汽车行业的自动驾驶汽车蓝图。

本文将主要讨论车辆网络安全问题，包括(i)网联自动驾驶汽车(CAV)网络安全风险和法律挑战，(ii)领先国家和地区在处理车辆网络安全问题上的实践，以及(iii)中国政府目前在应对这一问题时采取的行动。

CAV网络安全风险和法律挑战

1. 复杂性与隐患

一辆现代化汽车有着50到150个电子控制单元(ECU)——基本上可以说是微型电脑。每辆车有着多达一亿行代码，而每1000行代码就会包含约15个可能会被黑客利用进入系统的漏洞。[5]

无人驾驶汽车上充满了这些潜在的隐患，在车辆的无线通信功能中、在通过USB接口、蓝牙或者Wi-Fi与车辆相连的移动设备中，或在通过汽车诊断接口连接的第三方设备中。[6]进入到汽车关键系统的黑客将会引发混乱。

这些隐患是由汽车行业的性质所致，相比于台式电脑或是手机，汽车行业的特点是非常碎片化的供应链。汽车制造商面临的突出的整合风险加重了寻找对策的困难性- 每辆车的100多个ECU可能由20多个不同的供应商提供。不同的供应商开发和制造不同的零部件增加了网络安全风险。[7]

在质量或产品创新等其他制造领域，汽车制造商通常习惯于依靠供应商提供支持。然而，就网络安全而言，似乎供应商比汽车制造商还要准备不足。最近的一个调查显示，仅有10%的供应商将网络安全作为最高管理层的工作重点，而在汽车制造商中，这一数据为30%。仅有45%的供应商认为外部合作伙伴（即次级供应商）的网络安全是重要或是十分重要的，而在汽车制造商中，这一数据为60%。[8]

2. 法律挑战

汽车通常被认为是汽车制造商的产品，因此汽车制造商通常被认为需要为汽车符合安全标准负责。这种划分安排在非网联、非自动驾驶汽车的情况下可以运行良好，因为制造商们可以保证合规生产并且让车辆在真实的操作环境中进行故障测试。但是，CAV技术使得情况变得相当复杂。[9]

随着CAV技术持续快速发展，汽车制造商面临着由传感器制造商、软件开发商和操作系统提供商构成的复杂的供应链。如果CAV的缺陷造成的损害依然由汽车制造商承担责任，则汽车制造商将会为确保所有供应商都符合网络安全的最佳实践而承受巨大负担。[10]在车辆对车辆(V2V)和车辆对基础设施(V2I)交互的背景下，事情将变得更有挑战性。在此等运行环境中，黑客可以利用V2V或V2I通讯的瑕疵使CAV发生事故。在这种情况下，该第三方CAV或基础设施提供方是否也要承担责任？

更为复杂的是，在互联的环境中，相当数量的部件（例如传感器、执行器、操作系统和网络）连续的软件更新和补丁要能够应对任何网络安全隐患。一个明显的例子是，车辆制造商是否要在汽车出售给消费者后还要继续承担通过软件更新修补软件漏洞的责任。如果答案是肯定的话，那么至少多久向消费者提供更新又会成为一个新的问题。如何在汽车制造商、软件供应商和硬件供应商之间协调这个问题？

还有一点不能忘记，终端用户自己也是网络安全链条中一个关键环节。尽管他们的切身利益正面临危险，但目前的用户们似乎对于汽车网络风险认识的还很不够。[11]这些用户本身可能成为薄弱环节。如果一个安全事故的发生是由于终端用户在手机或者是与汽车连接的设备上安装了不安全的软件而引起，又该如何处理？终端用户是否需要为此承担责任？共同责任？

领先国家和地区的做法

尽管汽车网络安全问题可能不是所有供应商或用户的头等大事，但这一问题已经引起了许多国家和地区监管者的关注。尽管如此，大多数汽车行业监管机构还没有就他们对汽车网络安全问题将要采取的行动给予具体界定。[12]美国、欧盟和英国监管机构已经发布了指引或是最佳实践以应对车辆网络安全问题。

1. 美国

美国联邦政府和国会一直在积极的监管自动驾驶汽车在美国的部署。美国交通部下属的国家公路交通安全管理局(NHTSA)对车辆网络安全问题尤为重视。

2016年10月24日，NHTSA发布了指导性的《现代车辆网络安全最佳实践》（“NHTSA 最佳实践”），旨在帮助汽车制造商和软件设计商提升现代车辆网络安全，并为如何防止、抵御网络攻击提供指引。

NHTSA最佳实践指出NHTSA将关注能够加强汽车电子系统抵御潜在攻击的方法，并确保即使汽车遭到攻击，车辆系统也能够采取适当、安全的行动。

NHTSA最佳实践还建议，汽车制造商和设计商采用“多层方法”降低攻击成功的概率，并且降低未经授权的访问造成的影响。

NHTSA最佳实践中提出的关键指南有：

（1）车辆开发阶段明确考虑网络安全问题

遵循稳健的产品开发流程，避免设计系统存在不合理的安全风险

构建特定的流程，明确考虑汽车整个生命周期的隐私和网络安全风险

（2）信息共享

分享与网络安全风险、事件有关的信息，尽可能实时展开合作

（3）隐患报告制度

建立自身的隐患报告/披露制度或采用在其他行业使用的制度

（4）事故响应程序

建立文件处理流程，以响应事故、隐患和检测到的漏洞

订立组织内部各负责部门的角色和责任，明确内部及外部协调要求

（5）自我审计

记录与网络安全流程相关的细节，以便审计和问责

（6）风险评估

开发并使用基于风险的方法，以评估整个供应链的隐患和潜在影响

（7）渗透测试和文件记录

进行包括渗透测试在内的网络安全测试

保留测试产生的所有文件，作为内部记录文件的一部分

（8）自我审查

建立内部审查与记录网络安全相关活动的程序

NHTSA最佳实践还对根本性的车辆网络安全防护、训练当前或未来的工作人员和技术/非技术人员，以及考虑个人和第三方的售后市场设备和汽车部件的服务性的步骤和行动给出了建议。

2017年9月，NHTSA发布了《自动驾驶系统2.0：安全展望》（“ADS指南2.0”），取代了2016年NHTSA发布的联邦自动驾驶汽车政策。ADS指南2.0建议汽车行业投入资源评估风险和测试车辆的网络安全隐患。

2017年3月21日，两位民主党参议员提出了新的法案，即《2017年汽车安全及隐私研究法案》，旨在消除针对车辆和航空器的网络攻击。

2. 欧盟

欧盟同样也出台了车辆网络安全相关指南。

2017年1月13日，欧盟网络和信息安全部门(ENISA)发布了《智能汽车网络安全与适应力》的研究报告（“ENISA指南”），提出了应对网络威胁，保障智能汽车安全的最佳实践和建议。[13]

这份84页的ENISA指南列举了智能汽车存在的敏感问题以及相应的威胁、风险、降低风险的因素和可以采取的安全措施。[14]

ENISA指南将智能汽车定义为提供互联、增值功能以提升汽车用户体验或车辆安全的系统。它包含车载系统、联网资讯娱乐或车辆间通讯等使用案例。ENISA指南涵盖了乘用车和商用车，包括了卡车但排除了自动驾驶汽车。[15]

ENISA指南指出，保护智能汽车依赖于对所有相关系统（即云服务、应用、汽车部件、维护工具、诊断工具等等）进行全面的保护。它还概述了网联汽车系统中存在的关键隐患和风险以及汽车制造商应当考虑的威胁、攻击场景和降低风险的因素。

这些建议不仅仅适用于汽车制造商，还适用于一级和二级供应商、售后市场供应商、保险公司和其他汽车行业的参与者。

ENISA指南进一步提出，汽车行业需要明确汽车制造商、供应商、销售商、售后支持运营商和终端用户之间的责任归属问题。

ENISA指南推荐的好的实践做法分为三个方面：

（1）政策与标准

遵循条例 —— 行业参与者应当遵循与安全和隐私相关的条例

责任 —— 处理供应商、汽车制造商、销售商、售后支持运营商和终端用户之间的责任问题

可追溯性 —— 汽车制造商和供应商应确保采取了适当的技术手段，以便确定参与者之间的责任分配。

（2）组织措施

指定专门的安全团队并建立专门的信息安全管理系统

评估威胁模型、运用案例，在设计过程中考虑到安全性和隐私，以及实施、测试安全功能

评估安全控制和修补漏洞，确定安全更新政策，进行漏洞排查，使用期内定时检查安全假设，保护软件更新机制以及提高用户风险意识

（3）技术

对安全事件必须进行安全的记录，必须通知用户安全事件

提供端对端保密以降低受到攻击的风险，防范标准安全措施的隐患或局限性

把拒绝服务当做对通讯基础设施的通常威胁，不创建独有的密码机制，而是使用最先进的标准

依靠密码学专家，考虑使用专门独立审计的硬件安全模块，安全管理秘钥以及识别个人数据

明确进入控制，采取匿名、解耦措施以加强个人数据的保护，并明确发生所有权转移时，确保用户数据能够被安全删除的措施

使用远程通讯交互认证和实施自我保护措施

3. 英国

脱欧谈判似乎没有阻碍英国政府对CAV网络安全问题的关注。

2017年8月6日，英国运输部发布了新的名为《网联和自动驾驶汽车车辆网络安全的关键原则》的自动驾驶汽车网络安全指南（“指南”）。

指南的发布是为了回应CAV技术可能引发的大规模（而且增长的）网络攻击。[16]

“无论我们是通过把车辆变成Wi-Fi连接热点还是给车辆配备几百万行代码以使汽车全自动化，重要的是要让汽车能够抵御网络攻击。” ，运输部部长Callanan勋爵在一份声明中说道，“正因如此，向所有制造和供应链的参与者提供一套具有一致性的指南来支持这个全球产业就显得尤为必要。”[17]

与国家基础设施保护中心（CPNI)一起起草的指南列出了以下几条关键原则：

原则1：组织上从董事会层面重视、管理和促进信息安全——这是为了创造和推动组织内部的“安全文化”

原则2：适度并均衡的评估和管理信息安全风险，包括供应链中的具体风险

原则3：组织需要提供产品售后服务和应急响应机制，以保障系统在使用期内的信息安全

原则4：所有组织，包括分包商、供应商和潜在的第三方，必须共同合作以加强系统信息安全

原则5：系统采用纵深防御设计-须设计信息安全措施以应对防御纵深措施和部分技术的失败和被违反

原则6：所有软件的安全管理应贯穿整个使用期

原则7：数据的存储和传输是安全可控的

原则8：系统应设计成应对攻击时具有弹性，当防御或传感器失效时做出适当响应

据了解，指南的制定是为了减轻公众对于黑客可能攻击网联汽车（窃取个人数据或是其他恶意目的）的恐惧。英国政府传递出的基本信息是清晰的：这是一个需要被认真对待的问题，而且汽车制造商需要在管理层层面处理信息安全问题。[18]

2017年2月22日，英国《汽车技术和航空法案》引入了新的自动驾驶保险规定。[19]根据这部法案，保险公司将为自动驾驶汽车发生事故产生的损害负主要赔偿责任。[20]

但是，这部法案并没有完全反映CAV供应链中网络安全风险分散的特点。指南和其他最佳实践将填补空白，为CAV制造商以及他们的售前或售后供应商确立网络安全标准和安全评估流程。[21]

中国政府就车辆网络安全问题的应对

中国网络安全法（网安法）于2017年6月1日生效。这是中国第一部专门对于在中国境内建设、运营、维护和使用网络的安全问题进行规范的法律。

网安法对“网络运营者”在网络安全方面提出了一系列要求和应当承担的责任，引入了“关键信息基础设施”这一新概念，并给网络产品和服务提供者设定了规范。由于CAV与互联网或是公共通信网络（如4G网）相连接，其可能会被认为是一种新型移动设备，因而网安法中的一般规定和要求应当适用于网络运营商或网络设备提供商。但是，网安法似乎不能直接解决CAV的网络安全问题。

2017年12月29日，中国政府发布了最终的《国家车联网产业体系建设指南(智能网联汽车)》（“最终指南”），旨在为中国的CAV创建国家标准。

最终指南明确指出了功能安全和网络安全对于智能网联汽车来说同样重要。网络安全标准的建立必须能够保证车辆的安全性和可靠性。标准必须建立车辆通讯系统、数据、软件和硬件安全，以及车辆端口方面的风险评估、安全保护和测试要求，以保护车辆免受攻击、干扰、破坏、不法使用和事故。

最终指南明确将要建立95个标准，其中20个标准与信息安全相关。其中包括车辆信息安全的一般技术标准，车辆信息安全风险评估指引和车辆数据安全保护和隐私保护的一般性要求。

目前，中国政府尚未发布其他监管文件或指南专门对自动驾驶车辆的网络安全问题做出规定。

可能的发展趋势

自2017年年末以来，中国似乎加快了建立自动驾驶汽车监管体系的进程，但是相比于其他领先国家还有些滞后。

政府在自动驾驶汽车方面政策的重要性是显而易见的。政府在规范自动驾驶汽车的发展方面能够发挥三项主要作用。首先，平衡公众与行业之间的利益；其次，促进行业内部的合作；再次，建立和保障安全的信息共享环境。[22]因此，中国政府为建立自动驾驶汽车监管体系所做的努力是很受欢迎的。

另外，在这个快速发生变化的环境中，行业本身对于自动驾驶汽车政策的发展也能发挥重要作用。例如汽车制造商联盟和全球汽车制造商协会在2016年1月联合发布了《汽车网络安全最佳实践框架》，美国NHTSA的最佳实践也对其予以参考。中国的汽车行业在不远的未来很可能同样会在自动驾驶汽车监管体系的发展进程中扮演更为积极的角色，尤其是在指南的制定过程之中。

[1]https://www.wired.com/2016/08/jeep-hackers-return-high-speed-steering-acceleration-hacks/

[2]https://www.cbsnews.com/news/car-hacked-on-60-minutes/

[3]《智能汽车网络安全与适应力》，欧盟网络和信息安全部门于2017年1月13日发布

[4]https://phys.org/news/2017-02-cybersecurity-self-driving-cars.html

[5]https://www.computerworld.com/article/3193209/car-tech/your-car-will-eventually-live-stream-video-of-your-driving-to-the-cloud.html

[6]https://www.nhtsa.gov/technology-innovation/vehicle-cybersecurity

[7]Shifting Gears in Cyber Security for Connected Cars – by Mckinsey & Company

[8] Ibid

[9]https://www.pinsentmasons.com/PDF/2017/Freedom-to-Succeed-AMT/Connected-autonomous-vehicles-report-2017.pdf

[10] ibid

[11] Shifting Gears in Cyber Security for Connected Cars – by Mckinsey & Company

[12] ibid

[13]https://www.enisa.europa.eu/publications/cyber-security-and-resilience-of-smart-cars/

[14]https://www.enisa.europa.eu/publications/cyber-security-and-resilience-of-smart-cars/

[15] i.e., 完全自动驾驶汽车

[16]https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2017/august/uk-government-cyber-security-guidelines-for-connected-and-autonomous-vehicles/

[17]https://www.esecurityplanet.com/network-security/iot-on-wheels-u.k.-government-issues-cyber-security-guidelines-for-self-driving-cars.html

[18]https://newatlas.com/uk-dot-autonomous-car-cyber-security-rules/50799/

[19]《汽车技术和航空法案》正处于审议和三读阶段-https://services.parliament.uk/bills/2016-17/vehicletechnologyandaviation.html

[20]https://www.out-law.com/en/articles/2017/february/new-uk-laws-address-driverless-cars-insurance-and-liability/

[21]https://www.pinsentmasons.com/PDF/2017/Freedom-to-Succeed-AMT/Connected-autonomous-vehicles-report-2017.pdf

[22]Shifting Gears in Cyber Security for Connected Cars – by Mckinsey & Company