编者按
智能网联汽车是新一代信息技术与汽车领域深度融合的产物,汽车已成为数据的重要生产者和使用者。统计数据显示,全球已有超过140个国家和地区制定了隐私和数据保护的相关法律法规,智能网联汽车的数据安全已引起全球重视。数据安全问题包括如何有序、规范、合理地使用数据已成为关注的焦点。
作者:长生
为了加强智能网联汽车的安全管理,近日,工业和信息化部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称《意见》),从加强数据和网络安全管理、规范软件在线升级、加强产品管理、保障措施等方面提出了强化数据安全管理能力、加强网络安全保障能力、加强组合驾驶辅助功能产品安全管理等11项具体措施。
“在大方向上,发展智能网联汽车是坚定不移的选择,但在安全监管、选择技术路线等细节上,还是要慎之又慎。”正如中国汽车工程学会名誉理事长付于武所说,智能网联汽车是汽车产业发展的战略方向,此次发布的《意见》明确了原则要求,将指导企业在守住安全底线的前提下加强能力建设,有利于推动汽车产业创新发展。
智能网联汽车问题多发
数据处理和保护难度大增
汽车智能网联产业生态信息处理链条长,涉及企业较多,包括供应商、车企、后服务商等,相对传统行业,数据处理和保护难度大幅增加。与此同时汽车智能化、网联化发展也带来了未经授权的个人信息和重要数据采集、利用等数据安全问题;网络攻击、网络侵入等网络安全问题以及驾驶自动化系统随机故障、功能不足等引发的道路交通安全问题。
其中,黑客入侵造成的网络安全问题是如今车企面临的最重大安全风险。
一是恶意攻击。通过攻击企业业务系统,拿到客户数据、代理商数据,并进行诈骗及其他不法行为。
二是挖矿木马。车企通常拥有大量计算能力,很多不法分子非法盗用这些计算能力,进行诸如挖矿等非法行为。
三是勒索病毒。一旦遭受勒索病毒攻击,会导致企业整个资产被勒索病毒加密,导致勒索事件发生。
可以说,汽车智能功能越丰富,相应的攻击点就会越多。以车辆自身安全来说,手机 APP、蓝牙钥匙,甚至 4G、5G 网络车载终端等都有可能存在安全漏洞,一旦遭受攻击,车辆很有可能被恶意控制。此外,车辆数据安全也至关重要,如果车内的联网部件、控制部件防护性不高,很可能会导致车内敏感信息泄露或被篡改,严重时还会危及到财产、生命安全。
例如,8月17日,美国监管机构表示,黑莓设计的一款软件存在网络安全漏洞,可能会导致使用该软件的汽车和医疗设备面临风险,高度脆弱的操作系统容易受到黑客攻击。此前,黑莓也曾披露其QNX实时操作系统存在漏洞,可能允许黑客使用任意代码,或者大量流量导致该系统的服务器宕机。
如今,车企纷纷开始进行数字化转型。在这一过程中,许多企业暴露出安全管理意识不足、网络安全重视性不够、日常运维不认真等问题。在面对层出不穷的网络安全事件时,经常出现车企本身仅通过经验而非专业安全软件检测,来判断网络是否存在问题的情况。往往会导致企业与用户遭受损失。
日益凸显的智能网联汽车安全问题对车企提出了更高要求:
一方面,车企需通过强化技术手段和管理机制提升数据安全保障能力;
另一方面,车企在信息抓取、自动驾驶、智能坐舱等新技术发展上要做好风险规避。
完善制度 提高技术
双端发力共同完善安全防护体系
智能网联汽车的信息安全问题如何解决?
不仅需要管理端在制度上有解决方案,而且需要运营端在技术上有应对措施。
在制度保障层面,今年以来,汽车智能网联安全问题相关政策性文件法规密集出台:
6 月 21 日,工信部就《车联网(智能网联汽车)网络安全标准体系建设指南》征求意见,提出 2023 年底,初步构建起车联网(智能网联汽车)网络安全标准体系,完成 50 项以上重点急需安全标准的制修订工作,并提出在境内收集和产生的个人信息和重要数据应当依法在境内存储。
8月12日出台的《关于加强智能网联汽车生产企业及产品准入管理的意见》要求加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理,保证产品质量和生产一致性,推动智能网联汽车产业高质量发展。
8月20日,《汽车数据安全管理若干规定(试行)》发布,自2021年10月1日起施行。明确汽车数据处理者的责任和义务,规范汽车数据处理活动,保障汽车数据依法合理有效利用,维护国家安全利益、保护个人合法权益。
这一系列的相关政策和法律法规,对我国各领域的数据安全做了较为明确的规定,也为智能网联汽车行业合理、合法使用相关数据指明了方向。
除了制度保障,汽车产业链各企业也需要在安全防护手段、技术能力上进行升级。
首先,抵御黑客攻击方面,当前已有车联网应用了“加密认证”技术,在车辆与车辆,设备与车辆连接前,会增加一个密码交换比对的环节,确定不是黑客,才可进行连接。目前不少企业已积极研发加密芯片、加密认证等技术,致力于提升车联网防护能力。
此外,威胁分析和风险评估也是智能网联汽车网络安全的关键环节,可为后续的产品开发提供防护建议。
在安全管理方面,车企应当加强网络安全意识,做到五个原则:
一、非必要不暴露。遵循最小暴露的原则,除业务端口外,不暴露不必要的端口;
二、漏洞管理。一旦有服务,肯定有漏洞,从主机端和网络端同时进行漏洞管理;
三、外联行为管控。黑客攻击服务器,通常是植入木马,让其主动外联中控节点。做好主动外联的管控,精准的判断你主动外联对象;
四、日常检查。检查设备、系统是否运行在正常的工作状态,是否有特别的安全事件,是否有告警出现;
五、数据备份。备份是防止安全事件损失进一步扩大的重要手段。
在数据安全方面,车企应该利用新一代的信息技术,包括云计算、区块链、流量检测、国密技术等提升数据安全综合防护能力。
各车企纷纷亮出自己的解决方案,开始在不同方向上对数据安全进行布局,加强基础技术研发与数据安全技术应用,提升核心基础技术和安全可控能力,构建完善的数据安全管理体系。
例如,东风柳汽与腾讯达成合作,在数字化转型过程中,将大部分的生产、研发、制造、销售、售后数据,包括最重要的客户数据,都部署在腾讯云上,进行数字化管理;
长城汽车利用先进的加密技术,通过云、管、端全方位防护,有效降低了远程恶意控制风险,防止个人隐私泄露;
理想汽车实现了全流程的数据加密监控,从设计、研发到生产,每个阶段的安全都全程介入,同时实现分域隔离,纵深防御,对供应商进行安全管控……
智能网联汽车信息安全是全产业链的事,需要政府、车企、电信企业、互联网企业、电子零部件企业、网络安全企业等携手合作,进一步加大对数据安全方面的投入,共同完善智能网联汽车安全保护体系,提升行业整体安全水平。
参考资料:
[1] 孙琳. 智能网联汽车的安全谁负责[N].人民政协报,2021-08-13(5).
[2] 葛成. 谁为智能网联汽车保驾护航[N].新能源汽车报,2021-07-26(8).
[3] 王梦然.“安全”护航,车联网产业驶向风口[N].新华日报,2021-07-20(7).
[4] 卢奇秀. 车联网安全问题密集爆发引关注[N].中国能源报,2021-07-05(18).
[5] 陈秀娟. 数据泄露的坑怎么填?[J].汽车观察,2021,(7):54-55.