智能汽車信息安全“亮紅燈” 數據本地存儲成趨勢
繼特斯拉維權事件後,越來越多的跨國車企開始注重汽車數據安全問題。
近日,有媒體報道稱,寶馬、福特、戴姆勒等汽車公司有意在中國建立汽車數據存儲中心。在此之前,特斯拉通過官方微博宣佈已在中國建立數據中心,以實現數據存儲的本地化。同時,特斯拉也將向車主開放車輛信息查詢平臺。
360高級安全顧問任佳表示,目前智能汽車所面臨的的風險挑戰,不僅侷限於數據安全層面,在應用和網聯化層面也面臨着重大挑戰。同時,由於智能汽車所涉及到的安全問題與風險是處於動態平衡的,也使得智能汽車的信息安全保障難度更高。
智能汽車
信息安全“亮紅燈”
智能汽車是先進製造業與互聯網行業結合後的產物,在此之前,傳統汽車的內部模塊相對獨立,但智能汽車卻藉助大數據、人工智能、5G、雲計算、邊緣計算等新興技術實現了多模塊的整合,進而實現了車與人、車與路、車與雲之間的連接和互動。
業內人士普遍認爲,智能汽車不僅改變了汽車的架構,給用戶帶來更便捷的出行體驗,也在某種程度上重新定義了汽車安全。
北京航空航天大學交通科學與工程學院院長楊世春表示,自2021年起,整個產業界對於智能汽車的信息安全越來越重視,這不僅關乎着個人的隱私,也牽涉着國家的信息安全問題。
某汽車網絡安全公司發佈的《2020汽車網絡安全報告》顯示,2016年至2019年,全球汽車網絡安全事件數量增加了605%。
而工信部公佈的數據顯示,2020年,中國涉及車聯網相關的惡意攻擊多達280萬次,平臺漏洞、通信劫持、隱私泄露等風險較爲嚴峻。
比亞迪汽車工業有限公司汽車工程研究院車聯網信息安全專家蔣峰表示,智能網聯汽車涉及到的代碼非常多,而代碼所存在的漏洞是與生俱來的,同時智能汽車的網聯化特徵,也進一步加大其信息安全保障的難度。
國家互聯網應急中心高級工程師、車聯網安全總工程師吳昊透露,車聯網技術讓汽車由封閉的終端變爲可以由雲端進行遠程控制的移動終端,這個過程包含着各個端口和控制環節,不僅會存在數據泄露的風險,還會給國家的信息安全帶來新的風險形態。
這意味着,智能汽車的發展越提速,信息安全的問題就越要被高度重視。據國家發改委預計,2025年中國的智能汽車滲透率將達到 80%,數量將達到2800萬輛;2030年滲透率將達到95%,約爲3800萬輛。
平安證券指出,隨着智能汽車保有量的攀升,其涉及到的信息安全問題,將成爲智能汽車發展過程中被重點關注的內容。
汽車數據引監管重視
近期,因特斯拉維權事件,使得汽車數據的管理問題成爲全行業焦點之一。實際上,近年來,隨着智能汽車市場佔有率的攀升,所涉及到的數據安全問題,已經引起了監管的重視。
去年2月,國家發改委等11部委聯合印發《智能汽車創新發展戰略》,明確提及要加強數據安全監督管理,尤其是要建立覆蓋智能汽車數據全生命週期的安全管理機制,明確相關主體的數據安全保護責任和具體要求。
今年4月,中國汽車工業協會發布了汽車數據可信存證區塊鏈平臺,致力於從技術層面最大化地保障智能汽車數據的完整性、真實性和可靠性。
5月,國家互聯網信息辦公室發佈了《汽車數據安全管理若干規定(徵求意見稿)》,詳細說明了汽車重要數據的定義、汽車數據運營者的權責以及相關部門對於汽車數據監管的準則等,旨在從法律法規層面系統規範汽車數據處理活動,以維護國家安全和公共利益。
平安證券指出,該規定落地後,有望對整個行業的數據採集和應用劃定相應的紅線和標準,將成爲未來發展智能網聯汽車底層的數據隱私安全基礎。
任佳認爲,智能汽車信息安全所面臨的考驗並不僅限於數據層面,在應用安全和網聯化層面也存在一定的風險。
“智能汽車涉及到的代碼量非常龐大,勢必會用到開源的模塊以實現相應的功能。而在引入這些模塊時,不可避免地涉及到一些漏洞。”任佳表示,在智能汽車中,安全和風險始終是處在動態平衡階段的,隨着各類應用的更新、功能的增加,會衍生一些新的安全漏洞,從這個角度來說,保障智能汽車信息安全並不是一蹴而就的。
此外,由於智能汽車是移動的智能終端,既連接着道路,也連接着雲端,諸多接口的產生,也會增加一份被攻擊的風險。
共建信息安全防禦體系
在智能汽車信息安全問題已得到充分認識後,如何保障其安全性成爲了最核心的問題。
吳昊認爲,從技術角度來說,首先應建立一套檢測體系和方案,對智能汽車可能存在的漏洞建立更爲全面的漏洞庫,同時建議通過統一的檢測工具,幫助車企建立針對智能汽車的安全檢測和安全攻防能力。此外,也可以藉助仿真技術,對智能汽車可能存在的信息安全問題進行預判。
也有業內人士認爲,安全是貫穿於汽車產品全生命週期的“關鍵詞”,對於智能汽車而言,同樣如此。
任佳表示,智能汽車安全的保障可以分爲四個階段。第一階段是由汽車研發人員與信息安全人員共同從技術角度、法律法規角度進行預判,通過建模的方式,規避掉一些可能涉及的隱患;第二階段嚴格遵循安全的開發流程,通過滲透測試和逆向測試,確保車輛符合相應的安全標準;第三階段是安全運營階段,建議對車輛的數據進行安全監測,及時掃描漏洞並進行安全預警,及時修補漏洞;第四階段是智能汽車報廢階段,對車輛殘留的數據應該進行統一管理,並上傳雲平臺進行保存。
此外,更多的業內人士認爲,智能汽車的信息安全需要系統的協同,共同構建防禦體系。
國汽(北京)智能網聯汽車研究院有限公司信息安全部羅承剛認爲,從政府的角度來說,需進行頂層設計,加強法規、標準、規範、流程的建設。尤其是要推動智能汽車相關的法律法規及標準制定,讓防禦安全體系能夠有據可依。
同時,羅承剛建議希望對智能汽車數據進行全生命週期管控,對車輛准入進行有效監管。
“合規只是起點,並不是終點,對於整個行業而言,還是要以建立網絡安全基礎設施的能力爲導向,優化智能汽車的安全運營。”任佳認爲,只有掌握了這種能力,才能應對不斷變化的網絡安全風險。
“從行業的角度來說,要保持開放的心態,加強協同,聯合攻關,共同推動安全防護體系的建設;對於企業而言,則要以開放的心態,共享部分數據,共建智能汽車的安全基礎平臺。”羅承剛認爲,無論是掌握具體的防護能力,還是構建防護平臺,均需產業資源和技術的統籌和融合,以實現跨行業、跨領域的動態聯動。