車網中國 綜合新聞 當一輛汽車接入互聯網后，它就不只是一輛汽車了：它還是一臺能跑的電腦。

多年以來，安全行業一直在自問，“網絡攻擊何時能影響物理世界?”聯網的汽車是這一問題已經顯露的明證，尤其在研究人員公布車輛新的安全漏洞之后， 比如我和我的搭檔馬克·羅杰斯(Marc Rogers)對 Tesla 系統的深入研究 ，以及最近對 Jeep 切諾基的分析中，研究人員從互聯網上侵入了車輛的驅動系統，迫使高速公路上的車輛從高速變為低速行駛。菲亞特克萊斯勒公司(Fiat Chrysler)因此召回了一百多萬輛汽車，而國會也正在審議一項貼切地命名為《汽車安全和隱私議案》(Security and Privacy in your Car Act)的立法。
 

當一輛汽車能用谷歌搜索、發推，還能被智能手機應用遠程訪問時，這輛車與你的筆記本電腦間的共同點比它與福特 T 型車間的共同點還多。讓下一代聯網汽車更安全意味著應該對車輛是否“能上路”進行重新定義。未來能上路的車輛除了采取現在傳統的物理安全措施，還需要采取網絡安全措施。
 

與我們生活中其他重要的科技一樣，汽車也將不可避免地接入互聯網。鑒于汽車和卡車對個人乃至全球經濟都十分重要，攻擊者完全有可能將精力放在破壞車輛(但愿是)精心設計的系統上。
 

值得慶幸的是，到目前為止還沒出現過災難性的攻擊，并且汽車工業已經準備采取必要的行動來擺脫這一問題。但是，汽車工業需要吸取軟件工業從互聯網前線得到的經驗，而大部分汽車制造商還未能做到這一點。
 

例如，為了實現其徹底改造汽車的目標，特斯拉的其中一個舉措是優先開發汽車的軟件。這家公司很清楚，人們期待他們的汽車能夠聯網，因此在設計時他們絕不會問“當我們的汽車聯網時會怎樣”，他們只會問“我們怎樣設計出一輛很棒的聯網汽車”。
 

與對任何由軟件驅動的產品一樣，網絡安全必須是一項刻意的投資。目前，汽車工業可以采取以下三項具體措施來大幅改善車輛的網絡安全性。
 

第一，車輛需要增加空中下載(over-the-air)升級系統，以避免每發現一個安全漏洞都要啟動昂貴而漫長的召回程序。第二，制造商必須將車輛的信息娛樂系統與關鍵驅動系統區分開，并嚴格控制兩者間的通信，就像在商用飛機上將飛行中的 Wi-Fi 網絡與關鍵航電系統相互隔離一樣。第三，制造商必須假定有些攻擊能成功，必須確保車輛上的每一個軟件組件的安全，這樣如果攻擊者侵入某一系統，他們也不會自動獲得整個車輛的訪問權。
 

如果所有制造商都能實施這三條指導方針，汽車網絡安全的狀況將得到實質性的改善，但這只是一個好的開始。一家公司要想建立起一個強有力的網絡安全文化，通常需要數年時間;即使已經擁有一個強大的網絡安全內部團隊，這個團隊也必須得到整個公司的支持，還必須被整合到公司中。
 

而且，擁有經驗豐富的安全團隊的公司不僅會向公司內部尋求支持，還會請全球安全社區中的研究者找出問題，并希望趕在不法之徒之前修復好這些問題。比如，特斯拉就推出了一個“問題懸賞(Bug Bounty)”計劃，鼓勵公司之外的安全研究者負責地找出并幫助修復任何他們發現的安全問題。我希望其他制造商也能效仿特斯拉的做法。
 

想想汽車行業未能正確處理安全問題的后果吧：每發現一個軟件漏洞，制造商可能都需要召回汽車。召回是一個漫長的過程，而軟件漏洞如果不能被盡快修復，則將變成嚴重的個人安全問題，甚至是國家安全問題。另外，如果車輛上軟件漏洞出現的頻率普遍和電腦上差不多高——每月、甚至有時每周都有新的漏洞，召回馬上就變得不切實際了。
 

我衷心希望所有汽車制造商都能主動應對網絡安全問題，從上面提到的指導方針入手，讓汽車成為我們生活中最安全的科技產品之一。