围绕网络安全风险的讨论常常忽略一个关键领域——汽车行业。现在全球汽车行业面临着一些非常具体的网络安全挑战，而日本国内最近的一些行动展现了成功解决汽车业网络安全问题的方法。

在遭遇一系列的网络攻击之后，日本开始认真改进汽车行业的网络安全工作。2017年，一系列的WannaCry网络攻击破坏了日产英国工厂的运营。此后，针对日本汽车行业的网络攻击仍在持续。2019年，丰田的销售子公司成为网络间谍活动的受害者，最终可能有310万客户的个人信息被泄露。2020年6月，本田遭受了一次网络攻击，导致该公司意大利、日本、北美、土耳其和英国的业务暂时中断。这些事件已引起日本汽车行业的警觉，车企纷纷认识到网络安全对于汽车制造商及其供应商的业务可持续运营至关重要。

一些观察人士可能认为，与其他行业相比，汽车行业的网络安全风险没有那么严重。然而，汽车行业的网络安全噩梦包括日常运营受到冲击以及知识产权和客户个人信息被盗窃。汽车业的网络攻击不仅会给产品和客户服务带来负面影响，还会威胁到客户的安全，使他们的安全感下降。

汽车行业的网络安全形势极为复杂，涉及到的领域包括：汽车本身、汽车制造商及其供应商（包括电气设备和软件供应商）以及汽车行业服务提供商，例如汽车经销商和汽车共享服务提供商。

汽车本身的网络安全在很大程度上取决于车辆一些部分的网络安全性，这包括计算机控制系统、联网汽车服务和制造系统的安全机制。汽车制造商在日常的业务运营中使用大量的信息技术系统、计算机和内部服务器。这些系统还要求网络安全在生产的每个阶段保护车辆的组件并为汽车编写安全的计算机程序。另外，车企和技术供应商彼此需要共享一些知识产权，以确保汽车的正确设计和生产。这意味着其中的数据安全需要每个参与者的努力。

汽车行业的供应链风险管理也很复杂。通常而言，每辆汽车包括大约四万个零件以及越来越多的软件。由于车辆越来越多地配备了互联网连接设备，因此汽车制造商不得不与信息技术供应商、自动驾驶汽车传感器和光学传感相机的制造商等新的供应商合作，进一步扩展其供应链。此外，汽车行业的经销商这一级别也面临越来越多的网络安全风险。汽车经销商和联网汽车服务提供商拥有大量客户的个人信息，包括姓名、家庭住址、GPS记录、银行帐户和信用记录。

目前，还没有针对汽车行业供应链的全球网络安全通用标准或准则。每家汽车制造商采用的国际安全标准各不相同，有的是按照ISO/IEC 27001，有的采用了国家主导的准则或规定，例如美国国家标准与技术研究院(NIST)的网络供应链风险管理。一些汽车制造商使用的NIST文档包括SP800-161，SP800-171和SP800-58。一些企业或机构的多边和双边行动试图统一相互认证之类的举措。此外，联合国欧洲经济委员会的世界车辆法规协调论坛(WP.29)成立了一个由日本担任主席国的网络安全工作小组，54个国家在今年6月份通过了一项国际网络安全法规，以应对汽车行业的网络攻击。该规定将在2021年1月生效。

那么最好的努力方向是什么呢？日本的一个工作小组已经针对汽车网络安全提出了一些具体建议。

2019年4月，日本汽车制造商协会(JAMA)在其电子信息交换委员会下面成立了一个网络安全工作小组，与包括WP.29在内的多个利益相关方就网络安全进行合作。这个工作小组和利益相关方举行了多次会议，讨论了供应链风险管理方面的网络安全准则。所有的日本汽车制造商均隶属于JAMA工作小组，此举的目的是提高日本汽车行业的网络安全性。JAMA工作小组成立几个月后，日本汽车零部件工业协会(JAPIA)也成立了一个网络安全工作小组。这两个工作小组在2019年夏季开始合作讨论即将推出的准则。 

工作小组合作的目标是创建可以与国内外合作伙伴共享的准则，从一开始，各方就必须进行坦诚的对话，让行业里的公司披露自己的网络安全行动和政策。成员们每个月开会两到三次。不过冠状病毒疫情带来了另一个障碍：会议现在都是在线进行，小组内部不得不应对与在线共享敏感文档相关的网络安全问题。

工作小组通过四个步骤来制定网络安全领域的供应链风险管理准则。首先，他们研究了日本经济产业省在2019年4月发布的《网络物理安全框架》(Cyber Physical Security Framework)，这份文件涵盖了网络安全和供应链风险管理。《网络物理安全框架》参照了其他国家的网络安全准则和法规以实现政策协调。

其次，工作小组的成员分享了每家公司网络安全策略的摘要，比较和理解每个成员公司如何应对《网络物理安全框架》中提到的主要问题。由于每家公司都处于网络安全风险管理的不同阶段，并且使用不同的表达来反映公司企业文化的特质，因此这个小组花了两到三个月的时间将不同公司正在采取的行动与安全框架进行比较。

第三，JAMA和JAPIA同意仅使用《网络物理安全框架》129个基本项目中的50个来设置基础标准，即使是中小企业也需要遵守。尽管JAMA和JAPIA的成员是重要的汽车制造商和其他制造商，但这些制造商的承包商和分包商通常是中小企业。基础标准为网络安全打下了坚实的基础。例如，最低标准要求公司制定网络安全政策并指定一名负责网络安全的人员。对基础标准进行发展需要大量的辩论，这些公司花了两个月才达成一致。

最后，这个工作小组花了三个月的时间来拟定网络安全供应链风险管理准则。第一版网络安全供应链风险管理准则最终在5月份发布，英文版将在稍后发布。这份文档涵盖了汽车制造商以及零部件和技术供应商。工作小组将要求一些公司在三个月的试用阶段内采用该准则，然后征求反馈意见。试用阶段结束后，准则将根据公司的反馈进行修改和更新。

此外，JAMA计划扩大准则的范围，包括针对那些拥有更先进技术的公司的网络安全措施，不仅覆盖汽车制造商和供应商，还包括工厂和汽车经销商。日本汽车行业预计，5月份发布的准则和未来版本将有助于提高整体的网络安全水平。以前，每个汽车制造商只能在其集团公司范围内执行其网络安全政策，无法与供应商一起执行。这次的准则让汽车行业供应链中的所有日本公司协调网络安全工作，下一步的计划是与其他国家达成相互认证协议。

制定准则的行动反映了日本汽车制造商和供应商希望为全球汽车网络安全做出贡献的愿望。进入美国市场的日本汽车制造商已加入美国汽车信息共享和分析中心(Auto-ISAC)，与美国同行分享日本在网络安全和网络攻击方面的洞察。Auto-ISAC成立于2015年，旨在就网络安全方面的良好举措和网络威胁情报进行交流，其成员包括汽车制造商、IT和电信公司，例如AT＆T。本田和丰田等一些日本汽车制造商在Auto-ISAC 2019峰会上就网络安全发表了演讲。JAMA还在2017年推出了自己的Auto-ISAC，即J-Auto-ISAC，在成员之间分享日本特定的网络威胁情报。

尽管日本汽车制造商和供应商已专注于在国内扩大新的供应链风险管理准则，但日本需要与其他国家合作来进行相互认证，并且汽车行业渴望分享最佳的举措。德国、英国和美国也在制定各自的网络安全法规。例如，美国国家公路交通安全管理局在2016年发布了《现代车辆网络安全最佳举措》(Cybersecurity Best Practices for Modern Vehicles)。只有当各国之间加强合作，汽车行业网络安全的全球标准才会得到提升。

冠状病毒疫情给全球经济蒙上了阴影，很多公司转为远程办公，同时人们关注疫情形势的变化，网络攻击者利用这些变化，发送以冠状病毒为主题的网络钓鱼邮件，制作虚假的疫情应用和虚拟专用网络。随着网络威胁不断增加，Barracuda Networks在5月份报告，有40%的组织削减了网络安全方面的预算，希望节省成本。在这场史无前例的危机中，公司与国家之间的网络安全合作对于打击无国界的网络攻击比以往任何时候都更加重要。

网络安全为汽车行业所有的公司带来了共同的挑战和机遇，这些公司需要保持创新并保护客户。全球计算机控制系统方面的供应商不多，并且汽车经销商通常与多家车企合作，因此汽车行业的公司必须为了网络安全而共同努力。目前全球国家和国际层面正在讨论制定相关准则，现在是举行双边对话分享最佳举措并实现全球汽车行业网络安全的时候。