SECURITY TODAY
Trích dẫn những lo ngại ngày càng tăng về an ninh quốc gia, Bộ Thương mại Hoa Kỳ đã đề xuất lệnh cấm phần mềm xe mới có nguồn gốc từ Trung Quốc hoặc Nga và bao gồm cả phần mềm trong chuỗi cung ứng. Nếu được chấp thuận, lệnh cấm sẽ có hiệu lực vào năm 2027 đối với các loại xe mới được kết nối internet được bán để sử dụng trên đường công cộng của Hoa Kỳ, bao gồm ô tô, xe tải và xe buýt. Lệnh cấm sẽ loại trừ các loại xe không được sử dụng trên đường công cộng như xe phục vụ nông nghiệp.
Một quy định được đề xuất thứ hai sẽ cấm nhập khẩu và bán các loại xe có phần cứng lái xe tự động được tạo ra tại Trung Quốc hoặc Nga. Lệnh cấm này sẽ có hiệu lực đối với mẫu xe năm 2030 hoặc tháng 1 năm 2029. Sự chậm trễ như vậy sẽ giúp ngành công nghiệp xe hơi của Hoa Kỳ có thời gian để loại bỏ bất kỳ phần mềm và phần cứng bị cấm nào và cũng để tìm ra các giải pháp thay thế phù hợp.
Hai đề xuất hiện đang trong thời gian xem xét là 30 ngày. Bản dự thảo cuối cùng của mỗi luật sẽ có vào cuối năm 2024 và nếu được ban hành, sẽ có hiệu lực vào ngày 20 tháng 1 năm 2025.
Theo Reuters, Bộ Thương mại Hoa Kỳ cho biết quy định này sẽ tương đương với lệnh cấm đối với tất cả các loại xe được sản xuất tại Trung Quốc nhưng sẽ cho phép các nhà sản xuất ô tô Trung Quốc tìm kiếm “quyền hạn cụ thể” để được miễn trừ. Ngoài ra, các nhà sản xuất châu Âu sử dụng phần mềm từ Trung Quốc hoặc Nga cũng có thể nộp đơn xin miễn trừ mặc dù hiện tại vẫn chưa có tiêu chí cho các miễn trừ đó.
Vấn đề
Mối quan ngại của Hoa Kỳ đối với phần mềm có nguồn gốc từ Trung Quốc và Nga bao gồm hai phần.
Có mối quan ngại về dữ liệu cá nhân chảy ngược trở lại Trung Quốc hoặc Nga liên quan đến việc sử dụng xe trong phạm vi Hoa Kỳ. Điều này bao gồm dữ liệu xung quanh vị trí địa lý, chẳng hạn như nơi làm việc, trường học của trẻ em hoặc dịch vụ y tế, cũng như bất kỳ khoản thanh toán nào được sử dụng trong xe cho các dịch vụ của bên thứ ba trong xe như Spotify. Trong một số trường hợp nhất định, các dịch vụ di động cũng có thể được truy cập từ xa, như trong liên lạc 5G giữa xe với xe (V2V) hoặc giữa xe với cơ sở hạ tầng (V2I).
Thứ hai, có mối quan ngại về quyền truy cập từ xa và/hoặc cửa hậu phần mềm. Một kịch bản có thể là với quyền truy cập từ xa, ai đó ở Trung Quốc hoặc Nga có thể làm tê liệt hoặc vô hiệu hóa hoàn toàn một đội xe trên đường trong phạm vi Hoa Kỳ. Nếu tất cả các xe của một thương hiệu đột nhiên dừng lại trên đường cùng một lúc, trên toàn quốc, điều đó sẽ gây ra mối đe dọa ngay lập tức cho người lái xe và cả những phương tiện xung quanh họ. Tất nhiên, điều này đòi hỏi một khối lượng tài xế nhất định phải sử dụng những chiếc xe này trước để gây ra mối đe dọa thực sự cho quốc gia. Do đó, lệnh cấm đã được đề xuất.
Trong một tuyên bố, Gina Raimondo của Bộ Thương mại cho biết điều quan trọng là phải có lệnh cấm “trước khi các nhà cung cấp, nhà sản xuất ô tô và linh kiện ô tô liên quan đến Trung Quốc hoặc Nga trở nên phổ biến và lan rộng … Chúng tôi sẽ không đợi cho đến khi đường sá của chúng tôi tràn ngập ô tô và rủi ro là cực kỳ đáng kể”.
Các lệnh cấm phần mềm đã được áp dụng
Lệnh cấm an ninh quốc gia đối với nguồn gốc phần mềm như vậy đã được Chính quyền Biden sử dụng. Mùa hè năm nay, Hoa Kỳ đã cấm bán các sản phẩm Kaspersky Antivirus có trụ sở tại Moscow và bất kỳ bản cập nhật nào trong tương lai cho các khách hàng hiện tại của mình, với lý do lo ngại về an ninh quốc gia. Bộ Thương mại Hoa Kỳ cho biết phần mềm của Kaspersky có thể được sử dụng để xác định dữ liệu nhạy cảm và cung cấp cho các quan chức chính phủ Nga. Công ty đã phủ nhận những cáo buộc như vậy nhưng đã đồng ý rời khỏi thị trường Hoa Kỳ.
Cả Trung Quốc và Nga đều đã thực hiện lệnh cấm của riêng họ, yêu cầu tất cả các doanh nghiệp tại quốc gia của họ chỉ sử dụng phần mềm được sản xuất trong nước, bao gồm cả hệ điều hành. Động thái này thực sự loại bỏ sự cạnh tranh từ Google, Adobe và Microsoft tại các thị trường đó.
Nếu được ban hành, lệnh cấm phần mềm và phần cứng xe mới này sẽ cấm nhập khẩu hoặc bán các hệ thống do các nhà cung cấp có mối liên hệ chặt chẽ với Trung Quốc hoặc Nga thiết kế, phát triển, sản xuất hoặc cung cấp. Lệnh cấm phần mềm và phần cứng xe cũng sẽ áp dụng cho việc nhập khẩu và bán xe sử dụng các tính năng kết nối của các quốc gia đó như Bluetooth, di động, vệ tinh và Wi-Fi.
Không chắc chắn các quy định được đề xuất sẽ ảnh hưởng như thế nào đến một số hãng sản xuất ô tô như Volvo, chủ yếu thuộc sở hữu của tập đoàn Trung Quốc Geely Holding. Volvo có một nhà máy lắp ráp để phân phối trên toàn thế giới tại tỉnh Thành Đô, Trung Quốc. Ngoài ra, như đã lưu ý, các nhà sản xuất ô tô châu Âu cũng có thể bị ảnh hưởng và cũng có thể cần phải nộp đơn xin miễn trừ.
Một cách để các nhà sản xuất xe hơi Hoa Kỳ biết được nguồn gốc của chuỗi cung ứng phần mềm của mình là sử dụng Software Bills of Materials (SBOM). SBOM được sử dụng để hiển thị các thành phần riêng lẻ và số phiên bản trong một phần mềm nhị phân. Ngoài ra, phần mềm được sử dụng trong phần cứng (phần mềm cơ sở) cũng sẽ cần SBOM riêng. Bằng cách biết các thành phần của phần mềm nhị phân, OEM có thể yên tâm rằng họ không kết hợp phần mềm bị cấm.
About the Author
Joseph M. Saunders is Founder & CEO, RunSafe Security.