网络安全是横亘在自动驾驶产业发展征途上的一块巨石,解决该问题,将助力行业实现链式突破,推动自动驾驶从L3至L5加速跃升(L3至L5参照美国汽车工程师协会关于自动驾驶0-6级分类标准)。2017年以来,美国、英国、德国等汽车大国相继出台自动驾驶政策法规,其间,不约而同对自动驾驶网络安全议题进行探索性规定,从条文内容来看,目前各国对于如何保障自动驾驶网络安全的思路已逐渐清晰,政策着力点也已初步探明。
美国致力于安全标准的初步搭建,明确联邦和各州主管部门的监管职责以及在下一步立法、政策出台、标准拟定等相关议题上的“时间表”。2017年8月,美国交通部道路交通安全管理局(NHTSA)发布新版《联邦自动驾驶系统指南:安全愿景2.0》,要求汽车厂商采取措施应对网络威胁和网络漏洞,对车辆辅助系统进行网络安全评估。2017年9月,美国众议院批准《自动驾驶法案(提案)》,赋予NHTSA专职负责自动驾驶网络安全的权力,要求其在法律出台的180天内制定自动驾驶网络安全细则。
英国前瞻性提出各方利益主体在网络安全议题上的责任变迁,要求汽车制造商承担起包括抵御网络攻击、对抗黑客在内的一系列网络安全责任。2017年7月,英国出台《联网和自动驾驶汽车网络安全核心原则》,将网络安全责任拓展到汽车供应链上的每一方主体,比如第三方承包商。此外,要求将网络安全议题考虑在汽车全生命周期内,即使遭到网络攻击,也要保证车辆安全运行的基本功能。
德国直接触及具体细节性问题的解决,在此基础上,对自动驾驶未来可能出现的新情况持开放态度。2017年6月,德国《道路交通法第八修正案》为自动驾驶各方利益主体划定权利义务边界,提出政府监管的方向。法律设定了自动驾驶汽车在公共道路上行驶的六项基本要求。同月,《自动驾驶道德准则》出台,为自动驾驶所产生的道德和价值问题立下规矩,不允许自动驾驶厂商提前对极端情境的选择问题进行标准化设定或者编程。比如,紧急情况下对两个人(一男一女、一老一幼、一健康一残疾等)的生命进行衡量取舍。
整体上来看,各国都要求车辆厂商同时遵循新立法中的自动驾驶网络安全条文和已有通用类网络安全标准,另外,对于那些与自动驾驶有交叉关系的行业立法也要遵循。以美国为例,汽车厂商需要遵循的规则包括(但不限于),其一,自动驾驶类,如美国交通部《联邦自动驾驶汽车政策》、美国汽车工程师学会《信息物理汽车系统网络安全指南》(SAE J3061)等。其二,通用网络安全类,美国国家标准技术研究院(NIST)出台的《网络安全架构》。其三,特定交叉行业网络安全类。比如网络服务云平台所面临的安全问题,要求其遵循NIST《云计算安全及隐私指南》(SP 800-144)。具体的,对于自动驾驶网络安全的政策着力点,着重体现在以下几个方面。
第一,向自动驾驶汽车厂商施加强制性网络安全义务。
汽车厂商需要承担的安全责任,与自动驾驶程度密切相关。理论上,从L3开始,随着自动化程度逐步增高,人类驾驶员逐步退出车辆驾驶,自动驾驶厂商一步一步承接被转移过来的车辆安全责任,其中包括网络安全。目前,美欧等国大多认定自动驾驶厂商需要承担网络安全义务,初步要求参照传统网络安全的保障方法,比如要求拟定网络安全计划,设置专门的责任人员,建立网络安全联络点等。比如美国《自动驾驶法案》第5章“自动驾驶系统的网络安全”,具有上述类似规定。
第二,要求将网络安全思维融入车辆全生命周期。
自动驾驶产业链覆盖了汽车、通信、人工智能、交通运输等行业,涵盖众多利益相关方,比如元器件供应商、整车厂商、软硬件技术提供商、电信运营商、信息服务提供商等。众多的安全防护对象不可避免地拉长了安全防护环节,鉴于此,美欧等国要求将网络安全思维贯穿到自动驾驶的所有环节,以确保将车辆遭到网络攻击的可能性降到最低。美国《联邦自动驾驶汽车政策》《信息物理汽车系统网络安全指南》(SAE J3061)、英国《联网和自动驾驶汽车网络安全核心原则》具有上述规定。
第三,文档溯源、信息共享、网络监控等方面的要求严于一般网络安全要求。
与普通网络安全大多侵害财产权益不同,自动驾驶网络安全侵害的利益主体有较大可能是生命安全。对此,美欧等国大多趋向于在网络安全文档溯源、信息共享、态势感知等方面从严规定。
对于文档溯源,主要是从发生安全事故之后的证据追查角度,要求网络安全文件存档完整,必要时可提供给执法机构作为证据进行溯源。美国《联邦自动驾驶汽车政策》要求自动驾驶网络安全相关工作用文档记录,对所有行动、变化、设计选择、分析过程、相关联的测试和数据,都保存齐备,以便在发生事故后能够进行逆向追溯。
对于信息共享,主要出发点是从发生安全事故之后尽量将安全漏洞广而告之,避免其他汽车厂商再经历同样的安全攻击。美国《联邦自动驾驶汽车政策》要求行业切实建立共享机制,成立统一的汽车行业信息共享和分析中心(Auto-ISAC),自动驾驶企业应当从已经发生的事故、内部测试、外部网络安全研究中,将网络安全漏洞第一时间上报给Auto-ISAC。
对于网络监控(态势感知),主要是考虑到自动驾驶网络安全环境的动态变化特征,因而要求进行全天候全方位态势感知。美国《联邦自动驾驶汽车政策》要求对自动驾驶网络安全进行7×24小时全方位全天候监控。2016年5月美国道路交通安全管理局出台的车辆网络安全指引性文件也提到,应当对自动驾驶网络入侵(黑客)采取全方位监控措施,尤其是对车辆电子系统架构的潜在入侵,必须进行持续性的网络异常流量监控。
第四,对分层分级措施、隔离措施、安全弹性设计等既有做法予以肯定并推广。
对于企业已经采用的并被实践证明行之有效的安全措施,法律和政策都进行了肯定,并希望在更大范围推广施行。对于分层分级和隔离措施,目前自动驾驶汽车配备两个网络接入点(APN),其中,APN1负责车辆控制域通信,安全级别较高。APN2 负责信息服务域通信,主要访问公共互联网信息娱乐资源。APN1和APN2采用网络隔离、车内系统隔离、数据隔离等方式来加强网络安全管理。对于安全弹性设计,主要是将安全重点从事前的“保障100%网络安全”的思路转变为事中事后“网络攻击不可避免,如何尽快恢复”的思路上。美国交通部NHTSA的车辆网络安全指引性文件、英国交通部《联网和自动驾驶汽车网络安全核心原则》都具有上述类似规定。
我国自动驾驶产业正处于高速发展轨道,网络安全相关议题受到业界高度关注,车辆厂商和网络安全公司(包括互联网公司网络安全部门等)相互借智借力,共谋行业长远发展。建议我国立法机构和监管部门高度重视,围绕自动驾驶网络安全的核心技术、标准规范等强化部署,助力我国自动驾驶产业实现整体跃升。
