保障未来移动出行的安全应对自动驾驶汽车内外的网络安全风险德勤未来移动出行系列目录简介 | 2不速之客风险之所在 | 3发展之路 | 10结论 | 14尾注 | 15应对自动驾驶汽车内外的网络安全风险1驾驶汽车长期以来一直属于比较危险的人类行为之一——比如,最广为人知的是开车去机场这段路程是飞机旅行中最不安全的一环。1因此,自动驾驶汽车的安全性作为最常被提及的优点之一,这也就不足为奇了。事实上,许多人期望,拥有更多路况信息和自动驾驶技术的新兴移动出行生态系统2可几乎完全杜绝常见交通事故。但是,未来移动出行不仅带来潜在商业发展机会和新的价值创造来源,也带来了新的风险。旨在改进人们出行方式的这一创新却带来了头号网络安全挑战。那些人们拍拍脑袋就能想象得到的危险——例如自动驾驶汽车被黑客入侵后撞毁3——还只是冰山一角;实际上,这些危险甚至还不是风险程度最高的威胁。共享车辆可以储存数百位用户的数据,这自然成为令数字窃贼垂涎欲滴的作案对象。接入了互联网且自动化程度越来越高的汽车成为恶意勒索软件新的泛滥之地。随着出行运营管理商提供从起点到终点的路线规划,他们可以对人们的生活有更全面的认识——去哪里、什么时候去、以及去干什么。这样一来,用户信息就会越积越多,危险也越来越大。在未来的发展之路上,我们应该全面关注网络安全问题,让联网的汽车和其相关生态体系更安全、更警惕、更有韧性。这可能将彻底改变企业的网络安全策略:安全性。围绕最敏感的资产实现风险集中控制,从而降低风险,确保生产效率,提高业务增长,实现成本优化。警惕性。为关键业务流程制定监控方案。在汇总威胁数据、信息技术数据和业务数据之后,公司可以生成丰富的警示信息,帮助确定事件的优先级,简化事件调查步骤。韧性。快速适应和响应内外各类变化,比如商业机会、业务需求、中断或威胁,并能保持持续运营,缩小对业务的影响。未来移动出行最大的威胁可能还是网络风险。对用户和企业而言,在此过程中数据管理、用户隐私和数据保护至关重要。正如防撞预警系统和防抱死制动器并没有能够消除所有的交通事故一样,共享汽车和自动驾驶汽车也不会毫无风险。对于移动出行生态系统中的参与者而言,最关键的挑战是将风险维持在消费者和监管者都能接受的水平。随着汽车制造商、技术公司、政府等都为未来移动出行生态的发展纷纷加大投入,可是如果他们对网络威胁没有足够的了解,或没有具体的应对策略,这些巨额投入可能就会打水漂。简介不速之客旨在改进人们出行方式的这一创新却带来了头号网络安全挑战。保障未来移动出行的安全2上个世纪人们主要专注于解决工程方面的问题,而现如今汽车制造商正面临新一轮的挑战。其他行业也在积极应对网络安全问题,移动出行生态系统中的参与者可以向这些行业寻求类似的解决方案,不过这些解决方案的具体实施还是需要精心调整,以满足汽车行业的特殊需求。至于企业采取什么措施,还是要看他们在整个生态系统里扮演什么角色。在《未来移动出行》一文中,我们预想了未来移动出行的四种共存情境:其中一些与如今现状非常类似,而另一些则对未来共享交通和自动驾驶的可能性进行了大胆的设想(见图1)。4这四种未来出行情景分别带来了不同的与数据相关的风险和挑战,因而需要一系列的应对措施。未来情景1:这是最为保守的情景,车辆基本上和今天一样,依然是自己的车自己开。不过,预计车辆会有更多连接和数据(创建、消费、分析等),也会采用先进的驾驶辅助技术(但并非完全自动化)。随着汽车设计的进步,安全功能也会相应革新。升级后的安全功能将可能基于现有的车载技术和功能。不过升级后的技术在保障现有的技术和功能安全的同时,也要不断改进提升,以适应第一种未来情景所带来的变化。风险之所在德勤大学出版社|dupress.deloitte.com来源:德勤分析图1.未来移动出行情景私有共享自动驾驶人工驾驶辅助驾驶车辆使用风险规模扩大车辆控制风险规模扩大共享化自动驾驶共享化人工驾驶私人拥有自动驾驶私人拥有人工驾驶3412应对自动驾驶汽车内外的网络安全风险3内部威胁无论怎样发展,未来移动出行很有可能会引入新的基础设施,更多依赖数字化网络,而非实体设施。5随着车辆与其他车辆及周围环境的数字化连接越来越多,车联网的应用会逐渐扩展到很多方面,从帮助应急车辆重新规划路线、缓解交通拥堵,到指引车辆停泊以及电动车辆充电。类似于眼下的智能手机开发,未来软硬件供应商很可能会联手开发新型车辆及其配套基础设施。先让我们想象这样的场景,假设软件开发商与车联网设备制造商合作,由后者负责运输和装配联网设施。当软件开发商的骨干工程师离开这家公司,他带走了手头上的商业机密和车联网系统的后门信息。可能出于对前雇主心怀不满,他泄漏了这些机密信息,数十万的设备将会门户洞开,任人鱼肉。一开始,这些攻击可能还只是一些恶作剧,但事态很快就会升级:黑客们可以操纵整座城市的交通信息,向交通软件或共享汽车通告每条路都在施工,引发事故,导致市政应急服务能力严重下降。接着,他们又可以远程操控将电动汽车充电站的电流提升四倍,进而引起火灾。当然,企业要努力保障安全,避免单个人为破坏行为造成大面积损失,但总有缺漏。近期,制造业生产力与创新联盟和德勤联合开展了一项调查,结果显示:制造业高管们追查出有42%的网络事故源自于“内部威胁”。6泛汽车行业可以向诸如北美电力可靠性公司之类的企业学习如何制定标准和规范,指导关键电力系统的安全研发。在标准委员会的带领下,行业志愿者和公司员工共同起草,北美电力可靠性公司着眼于系统可靠性和市场影响性制定了一套准则。这些准则同样适用于移动出行系统。7随着汽车和交通基础设施开始与周边环境以及其他系统整合,政府和系统开发商应考虑像保护其他公共设施一样保护这些移动出行的基础设施。制定标准时,可参考美国国家标准与技术研究所的《信息技术系统安全性准则与规范》。8就像安全内容提供商可以通过加密和认证来保护公共设备那样,重要基础设施的保护工作通常除了物理防护和公共安全措施外,还要求开发相应的安全防护软件。这是因为监管部门(如美国运输部以及美国国家公路交通安全管理局)认识到,如今他们监管的这些设备越来越复杂,而且还支持远程控制,那它们面临的危险也就相应地增加了。同样需要关注的还有联网车辆和相关设备,它们也是新的移动出行生态系统中的关键基础设施。如今,美国国家公路交通安全管理局正为了将来的发展铺平道路。在2016年10月,管理局为了提高网络安全,向汽车行业提出了一系列建议,重点“确保汽车系统在遭受攻击后还能采取适当安全的操作”。9保障未来移动出行的安全4即使在今天,很多车辆严重依赖于一些专有软件,而这些软件在黑客面前已经是漏洞百出。就一般的新汽车而言,上面配备的电脑系统都会用到上亿行代码,10这些代码使得汽车可以互联互通且更加精细复杂,但同时也更易受攻击(见辅文,《内部威胁》)。而且这还不单单是代码数量的问题——质量也是个大问题。企业加速变革和创新的目的是在竞争中脱颖而出,为在竞争中胜出,却往往倾向于牺牲端对端开发和测试的严谨性。这种目光短浅的做法会增加系统错误率或使系统安全失去保障,说不定最后导致产品召回,商业信誉受损。新功能不可避免地整合多种来源的集成代码,也存在更多的潜在漏洞,汽车制造商和软件开发公司相应地需要在整个汽车组件的集成、安全和测试上多花点功夫。11同样,随着汽车缺陷更多的来自代码而非零件,监管机构也面临挑战。有些人已经认识到这一难题。美国国家公路交通安全管理局局长MarkRosekind直截了当地说:“几百万行代码……都讨论多少次了?我们就是搞不定。”12未来情景2:尽管车辆仍然由人工控制,但随着“共享经济”和各大汽车共享服务公司的兴起,共享出行将进一步发展。我们现在瞥见一下未来的情景,大致了解下潜在的网络安全问题。然而,如果在技术创新上一味求快,会大幅增加网络威胁的规模、强度和复杂度。随着社交媒体、拼车软件及其他移动应用程序的激增,连接消费者的智能设备会暴露更多的风险。保护司机和乘客的个人信息是重中之重。心怀不轨的人可能会想办法搞到这些信息,因此对拼车服务公司的系统虎视眈眈。支付系统可能也会泄露个人信用和银行信息。导航和位置信息则可能泄露客户隐私,这就要求厂商确保车载通信的安全。现在,汽车公司和科技公司都试图进军共享出行领域,13他们应该考虑到这个业务模式的风险和网络威胁。应对自动驾驶汽车内外的网络安全风险5未来情景3:这种情景中采用了个人所有、完全自动驾驶的汽车。尽管大部分自动驾驶技术的核心功能都是车内标配(这样相对来说不容易受到攻击),但自动驾驶汽车总归还是要通过传感器、车联网技术、GPS软件等系统和外部世界进行信息交流。与第一种情景一样,如果一切顺利的话,这些联网汽车可能会改善乘客体验,但也可能带来新的威胁。去年,安全研究人员就已经能够利用车载应用程序里的漏洞攻击电动汽车的电池,可以使汽车熄火。17虽然后来漏洞修复了,但这个例子也让我们意识到连接性的增加会导致威胁升级。在自动驾驶汽车里,汽车系统将完全由汽车自主掌控,入侵攻击或系统漏洞所带来的损害都可能会危及生命。为避免这些问题,自动驾驶汽车开发公司目前通过操作人员来控制应对系统崩溃或系统错误,但这种方法不适用于普通消费者。特别是如美国交通运输部制定的自动化车辆指南所指出的:“在制定保障机制时应当考虑到……人类驾驶员注意力不能集中的情况,如在酒精或其他因素影响下造成的困乏,或因其他方式造成的身体受损。”19除此之外,自动驾驶汽车可能在完全没有驾驶员接管的情况下发生故障——比如,自动驾驶汽车自己“开”去进行保养。该政策没有明确规定自动驾驶车辆在这种情况下应如何行事,而自动驾驶汽车开发商和研究人员必须努力制定出安全的方法。数据饕餮正如飞行数据记录器会记录驾驶舱发生的事情,联网汽车也会记录车主和乘客的一举一动。但车载技术还可以编纂和分析数据,得出一些更具洞察力的结论:例如,设备可以仅根据刹车踏板数据对用户进行分类。14而对于共享汽车而言,深层数据挖掘可能会越来越频繁,以满足客户对服务无缝对接的渴求。现在很多公司(如数据中介和保险公司)都在期待着可以无限制地访问这些数据,但另一方面,数据匹配正在以新的方式从这些数据里面提炼金矿。一些拼车服务提供商已经可以实现乘车过程中同步乘客的音频服务系统。15现在,想象一下有人在垃圾场搜集零件,她直接忽略了挡泥板、车门和气囊。真正有价值的东西还是在CPU模块里面——并不是用于维修或备用,而是里面的数据。每个模块都可能包含大量有价值的信息——比如,每一辆共享汽车的数据记录器都可能储存着之前用户的智能设备信息,包括地址和身份证号,还记录着这辆车报废前去过的每一个地方,甚至包括数百个账号和日志,这样就暴露了乘客的电话号码、地址和支付记录。一套完好的个人数据放到网上卖,价格会比单独转售一个零部件高得多。在未来,汽车会越来越了解自己的主人及乘客——对很多人而言,这个趋势让他们越来越担心。这些数据是归制造商所有吗?那车主呢,或者借车的人,抑或只是乘客呢?我们的法律制度会怎么界定数据的所有权?当车辆开过不同的辖区时又会是何种情形呢?对于事故车辆,警察又会怎么处理车上的数据?车辆报废之后,谁又会负责清除报废车辆的数据记录?在未来发展的道路上,汽车制造商和共享出行服务提供商可能会指望企业信息技术部门。很多公司在租赁到期或合同到期时,会清理员工的电脑、手机等电子设备上的残余数据,具体可包括:数据加密、恢复出厂设置或其他数据安全清除。在一项调查中,超过半数的受访者表示,他们的公司有配备信息资产处置规定。16车辆所有权变更或者车辆报废时都可以参考采用类似的程序。保障未来移动出行的安全6来自制造商的系统信息也未必安全虽然自动驾驶汽车失控好像更能让人浮想联翩,但平日老生常谈的那几种威胁也绝对不容小觑。如今,说到和软件相关的安装和召回,很多汽车制造商会让顾客亲自把车送到经销商那里来完成。但要让车主主动配合这样的服务要求似乎很困难,特别是当车辆运行还正常时。但随着越来越多的车载软件需要定期更新安全和导航信息,新的移动生态系统中的自动驾驶车辆可能会有专用通信线路与制造商进行交互,以便