汽车制造商需要采取措施确保汽车联网数据的安全

消费者的担忧

然而，尽管全球联网汽车市场预计到2025年将超过2190亿美元，但由于消费者担心网络攻击，该行业在寻求完全成为主流的过程中仍遇到挫折。

我们都知道，联网设备的增加，无论是车辆还是其他设备，都会自动增加犯罪分子的入境点和机会。考虑此类攻击的通常非常严重的后果,这个消费者的恐惧是一个合法的需要解决的物联网产业,至关重要的是,连接汽车制造商(oem)如果该行业成功实现完整的消费者信任和采用其产品和保证数据的安全。

当前的安全状态

正如我们在最近几个月所看到的，已经采取步骤在数据交换的其他领域制定数据安全规范。例如,GDPR已经对我们浏览网页和收发通讯的体验产生了重大影响，事实上，任何涉及个人数据处理的交互都是如此。然而，目前，物联网服务提供商不需要遵守任何额外的安全法律或标准。虽然有些人呼吁政府立法，但已经有了一个的公司数量致力于提高连接设备安全性的解决方案。

我们还不清楚，当我们开始这个互联的未来时，它会对我们的个人隐私产生什么样的影响。不过，有一点是明确的，如果汽车制造商自己不采取一些明确的技术来防止数据黑客、管理不当或隐私侵犯，联网汽车行业将继续难以被主流公众接受。

那么汽车制造商自己目前在做什么呢?立法者已经在为什么立法?至关重要的是，还需要做什么才能让用户确信他们的数据是安全的?

现行法律对用户的保护

2017年，《安全保障生命未来发展与汽车研发法》出台通过在美国。该法案要求汽车制造商各自制定自己的网络安全计划，以规范自动驾驶系统的接入。

同样在2017年，美国交通部和国家公路交通安全管理局(NHTSA)发布了新的自动驾驶汽车联邦指南，”自动驾驶系统2.0:安全愿景，它鼓励最佳实践，并把安全放在首位。不幸的是，该指南并没有特别提到数据隐私，但它确实建议“开发防止网络攻击和保护消费者隐私的系统”，这在某种程度上朝着这个方向发展。

虽然严格来说这不是一种法律保护，但是Auto-ISAC美国政府于2015年成立了该公司，旨在收集和传播全球联网汽车面临的网络安全风险信息。这个由行业专家和学者组成的社区共享汽车行业的相关安全信息，提高汽车行业准备和应对安全威胁、漏洞和事件的能力，从而使互联汽车生态系统的利益相关者能够最好地管理他们的业务风险。

文件说明:

• Auto-ISAC于2016年7月推出了“汽车网络安全最佳实践”，作为汽车制造商联盟和全球汽车制造商协会于2016年1月发布的“汽车网络安全最佳实践框架”的扩展。
• 2016年10月，美国交通部NHTSA发布了《现代车辆网络安全最佳实践》。

汽车制造商如何保护汽车联网数据?

1.硬件安全投资
通常情况下，我们最习惯看到和每天驾驶的车辆并没有在汽车本身的电子设备中安装任何硬件安全装置。这是因为这辆车最初从未打算拥有一个可以像物联网设备那样连接到外部系统的开放系统。相反，汽车的系统应该是一个封闭的系统。

正因为如此，一旦您将车辆连接到外部，就没有足够的保护措施(如防火墙)来防范恶意方。在新车上安装安全网关就可以解决这个问题。

什么是安全网关?

作为这里描述时，安全网关的工作原理如下:

“网关和车载网络(IVN)连接汽车中的不同领域。网关充当中心集线器，在不同网络之间提供隔离的同时进行连接。它过滤哪些节点可以合法地与连接域中的其他节点和外部网络通信，从而为连接的汽车提供安全保障。

该网关能够处理自动驾驶和联网汽车所需的大量数据，并转换不同的汽车通信协议。它能够安全地对电子控制单元进行软件空中更新，以实现新的功能，改善司机和乘客的体验。”

对于物联网设备来说，如果不首先通过安全网关，就无法与车辆进行交互，这使得双方之间的数据交换明显更加安全。

2.对软件安全的投资
与网络安全事件持续上升在美国，汽车制造商需要采用一种网络安全方法，不仅要考虑汽车软件中显而易见的漏洞，还要考虑开源软件组件可能带来的潜在漏洞。

联网的汽车软件代码是极其复杂的，平均每个汽车软件都有大约1亿行代码。随着复杂性的增加，脆弱性的机会也越来越多，来自网络罪犯的恶意攻击的风险也越来越大。如今，专门针对汽车软件漏洞开发的恶意软件并不罕见。

目前，许多知名汽车制造商及其软件供应商都部署了测试工具，如静态和动态应用安全测试(科协和DAST)工具，以识别可能引致软件漏洞的编码错误，以及黑客和罪犯有机会远程启用或禁用某些功能。而这些工具是有效的定位工具错误的代码这些代码是由汽车制造商自己的内部开发团队编写的，无法有效识别第三方代码中的开源漏洞，导致当今应用程序的许多主要组件暴露在外，因为它们是由为外部物联网供应商工作的开发人员而不是汽车制造商自己开发的。

3.用户知晓和同意
除了确保汽车硬件和车载软件的安全，重要的是要强调汽车制造商有责任提醒用户，他们允许哪些设备连接到他们的汽车，以及为了什么目的。这是需要寻求用户同意和GDPR法规严格执行的地方。第三方物联网供应商必须明确定义他们为什么想要与汽车交互，以及他们计划如何处理从汽车获得的任何数据，但让用户放心他们的数据安全是原始设备制造商的工作。

联网汽车未来的成功将在很大程度上取决于原始设备制造商如何获取客户数据，如何处理用户的隐私问题，以及如何遵守GDPR规定。在2015年,据报道44%的美国人“非常担心”自己的信息有可能从智能家居被盗，27%的人“有点担心”。尽管2018年初强制实施的GDPR取得了长足进展，但在消费者信心十足地购买联网汽车之前，仍需要向他们保证，他们的数据将是安全的、机密的，不会有被出售的风险。即使技术已经成熟，如果没有公众的普遍认可，这个行业也将一事无成。

对于每个OEM来说，强大的隐私策略的实施将是其在互联汽车行业取得成功的关键，同时也是确保其客户基础的安全和稳定的关键。

关于数据隐私，oem需要考虑的其他事项:

• 汽车制造商需要快速行动;隐私法规正在迅速演变，对待滥用个人数据的心态和态度也在迅速演变。
• 用户的同意应该是一种积极的行动(而不是被动的)，并且用户应该能够在任何时候撤回同意。重要的是，企业可以证明，如果和在需要时，同意是给予的，并证明这种同意是诚实和合法获得的。
• 设计中的隐私——在汽车设计、开发和制造的每个阶段，用户隐私即使不是主要考虑因素，也应该是主要考虑因素。

结论:安全第一的方法

展望我们日益互联的未来，我们可以肯定，尽管汽车和物联网之间的关系只可能增加复杂性，但通过妥善处理隐私和数据安全，任何网络攻击或数据滥用的风险都可以显著降低。物联网行业目前正以指数级速度增长，传统汽车公司需要采取安全优先的方式，以便利用技术通过联网汽车给司机和道路用户的生活带来的巨大进步。

所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的，不一定传达物联网议程的想法。