多年来,中国国内的主机厂 ,在兼顾从互联功能到机器人轴等多个领域的技术创新和经济性方面一直走在前列。例如,比亚迪是中国最受欢迎的国产主机厂 ,其2025款海鸥电动车的售价为72,000元起,相当于9,900美元或7,690英镑。虽然比亚迪目前是全球电动车行业最大的制造商之一,但其成功主要源于国内销售,这也是该地区其他主机厂 。
然而,在中国取得成功后,主机厂 ,比亚迪等公司目前正在制定并在某些情况下执行国际扩张计划。对于消费者来说,由于许多中国主机厂 ,这些计划可能代表了一条更容易采用电动汽车的途径。不过,对于一些国际政府来说,这些主机厂 不仅是其国内汽车制造商的强大竞争对手,而且还对其人民、网络和基础设施的安全构成威胁。
正是这种风险导致拜登-哈里斯政府最近提议禁止进口 "受关注国家 "生产的任何联网和自动驾驶汽车硬件和软件,其中中国和俄罗斯就是主要例子。在本期《洞察》中,我们将深入探讨该提案的细节--在听取 SBD 北美地区总监Alex Oyler 介绍其影响并概述在禁令实施前应对禁令的最佳实践之前,我们将分析发生了什么以及原因。
禁令是怎么回事,为什么会这样?
美国商务部(DoC)于 2 月下旬下令对联网汽车软件进行调查,这就是该提案的起源。该调查于 3 月进行,旨在了解公众对联网汽车中使用的某些技术所带来的国家安全风险的看法。调查结果最终促成了 2024 年 9 月 23 日宣布的提案--一份拟议规则制定通知(NPRM),如果按提案通过,将 禁止从有关国家销售或进口采用某些技术和特定组件的联网汽车"。
商务部强调,其建议还将限制从使用某些互联和自动驾驶系统的国家进口或销售互联汽车,并限制进口更广泛的互联硬件。但与此同时,该提案还将包括一些程序,旨在为特定方(如知名度较低的主机厂 )提供例外豁免,以尽量减少意外的、不必要的干扰。
拜登-哈里斯政府鼓励感兴趣的汽车利益相关者在制定最终规则时分享他们的意见。反馈期结束后,政府的目标是在 2025 年 1 月 20 日下届美国总统就职之前最终确定该提案。如果提案获得通过,对软件的禁令将从 2027 年车型年开始生效,而与硬件相关的禁令将从 2030 年车型年开始生效(对于没有车型年的车辆,则从 2029 年 1 月 1 日开始生效)。
白宫表示,拟议禁令背后的动机源于新型车辆日益增强的互联性,指出使用各种系统控制车辆行驶、使用摄像头和传感器实现自动驾驶功能。在概述这些进步的同时,它反过来强调了联网车辆如何允许恶意对手收集和利用敏感信息,包括车辆乘员数据和美国基础设施的详细信息。在这里,它声称有关地理区域和关键基础设施的某些硬件和软件信息不仅可以让这些对手破坏这些基础设施的运行,还可以操纵联网车辆。
通过调查,国防部进一步确定,中国和俄罗斯等敌对国家在联网汽车中使用的某些技术有可能利用美国供应链中的技术进行监视和破坏,从而破坏美国的国家安全。根据调查结果,拜登-哈里斯政府制定了该提案,其总体目标是保持美国供应链的弹性和安全,使其免受外国威胁。
细看文化部建议的潜在影响
SBD 北美总监认识到这一提案可能会对全美和其他地区产生的影响、 Alex OylerSBD 北美区总监裴斯泰洛齐评论道:"随着电动汽车成为美国国家(关键)能源基础设施日益重要的一部分,人们不仅对美国消费者的隐私可能受到侵犯感到担忧,而且还对关键基础设施的保护感到担忧。
执行方面将面临挑战,尤其是在软件可追溯性方面,因此主机厂 采用软件物料清单 (SBOM) 技术至关重要。虽然大多数汽车制造商的网络安全团队现在才从为符合联合国欧洲经济委员会 R155 海外标准而进行的大规模投资中恢复过来,但这将是另一波与合规相关的投资浪潮。NHTSA 必须优先帮助汽车供应链采用 SBOM 标准,以简化合规工作(并降低美国消费者的成本)"。
下一步工作
随着美国、中国和世界各地的汽车制造商对拟议禁令做出反应--调整其技术和车辆阵容以适应禁令的要求--主机厂 和消费者现在将更加了解使用和/或集成中国地区生产的汽车硬件和软件所带来的潜在网络安全风险。
虽然我们已经概述了商务部禁止在中国生产互联汽车和技术的建议的范围和背景,但促成这一建议的网络安全威胁只是影响全球汽车并促使主机厂 、供应商、政府等采取行动的众多威胁之一。作为《网络情报指南》的一部分,我们的网络安全专家对这些威胁进行了例行识别和评估,该指南更广泛地分解了最近影响市场上一些最新车辆的数百起车辆、后台和智能手机应用程序攻击事件。
网络情报指南》旨在分析汽车网络安全面临的各种威胁和漏洞,并提高人们对这些威胁和漏洞的认识,深入探讨针对这些威胁和漏洞的建议防御和缓解对策,同时强调事件响应分析对汽车网络安全的重要意义。在该指南中,我们的专家将新的网络安全威胁与联合国欧洲经济委员会 R155 提供的漏洞列表关联起来,帮助系统开发人员和管理人员深入了解应如何在整个组织和供应链中应用风险管理。