证券时报记者 韩忠楠
继特斯拉维权事件后,越来越多的跨国车企开始注重汽车数据安全问题。
近日,有媒体报道称,宝马、福特、戴姆勒等汽车公司有意在中国建立汽车数据存储中心。在此之前,特斯拉通过官方微博宣布已在中国建立数据中心,以实现数据存储的本地化。同时,特斯拉也将向车主开放车辆信息查询平台。
360高级安全顾问任佳表示,目前智能汽车所面临的的风险挑战,不仅局限于数据安全层面,在应用和网联化层面也面临着重大挑战。同时,由于智能汽车所涉及到的安全问题与风险是处于动态平衡的,也使得智能汽车的信息安全保障难度更高。
智能汽车
信息安全“亮红灯”
智能汽车是先进制造业与互联网行业结合后的产物,在此之前,传统汽车的内部模块相对独立,但智能汽车却借助大数据、人工智能、5G、云计算、边缘计算等新兴技术实现了多模块的整合,进而实现了车与人、车与路、车与云之间的连接和互动。
业内人士普遍认为,智能汽车不仅改变了汽车的架构,给用户带来更便捷的出行体验,也在某种程度上重新定义了汽车安全。
北京航空航天大学交通科学与工程学院院长杨世春表示,自2021年起,整个产业界对于智能汽车的信息安全越来越重视,这不仅关乎着个人的隐私,也牵涉着国家的信息安全问题。
某汽车网络安全公司发布的《2020汽车网络安全报告》显示,2016年至2019年,全球汽车网络安全事件数量增加了605%。
而工信部公布的数据显示,2020年,中国涉及车联网相关的恶意攻击多达280万次,平台漏洞、通信劫持、隐私泄露等风险较为严峻。
比亚迪汽车工业有限公司汽车工程研究院车联网信息安全专家蒋峰表示,智能网联汽车涉及到的代码非常多,而代码所存在的漏洞是与生俱来的,同时智能汽车的网联化特征,也进一步加大其信息安全保障的难度。
国家互联网应急中心高级工程师、车联网安全总工程师吴昊透露,车联网技术让汽车由封闭的终端变为可以由云端进行远程控制的移动终端,这个过程包含着各个端口和控制环节,不仅会存在数据泄露的风险,还会给国家的信息安全带来新的风险形态。
这意味着,智能汽车的发展越提速,信息安全的问题就越要被高度重视。据国家发改委预计,2025年中国的智能汽车渗透率将达到 80%,数量将达到2800万辆;2030年渗透率将达到95%,约为3800万辆。
平安证券指出,随着智能汽车保有量的攀升,其涉及到的信息安全问题,将成为智能汽车发展过程中被重点关注的内容。
汽车数据引监管重视
近期,因特斯拉维权事件,使得汽车数据的管理问题成为全行业焦点之一。实际上,近年来,随着智能汽车市场占有率的攀升,所涉及到的数据安全问题,已经引起了监管的重视。
去年2月,国家发改委等11部委联合印发《智能汽车创新发展战略》,明确提及要加强数据安全监督管理,尤其是要建立覆盖智能汽车数据全生命周期的安全管理机制,明确相关主体的数据安全保护责任和具体要求。
今年4月,中国汽车工业协会发布了汽车数据可信存证区块链平台,致力于从技术层面最大化地保障智能汽车数据的完整性、真实性和可靠性。
5月,国家互联网信息办公室发布了《汽车数据安全管理若干规定(征求意见稿)》,详细说明了汽车重要数据的定义、汽车数据运营者的权责以及相关部门对于汽车数据监管的准则等,旨在从法律法规层面系统规范汽车数据处理活动,以维护国家安全和公共利益。
平安证券指出,该规定落地后,有望对整个行业的数据采集和应用划定相应的红线和标准,将成为未来发展智能网联汽车底层的数据隐私安全基础。
任佳认为,智能汽车信息安全所面临的考验并不仅限于数据层面,在应用安全和网联化层面也存在一定的风险。
“智能汽车涉及到的代码量非常庞大,势必会用到开源的模块以实现相应的功能。而在引入这些模块时,不可避免地涉及到一些漏洞。”任佳表示,在智能汽车中,安全和风险始终是处在动态平衡阶段的,随着各类应用的更新、功能的增加,会衍生一些新的安全漏洞,从这个角度来说,保障智能汽车信息安全并不是一蹴而就的。
此外,由于智能汽车是移动的智能终端,既连接着道路,也连接着云端,诸多接口的产生,也会增加一份被攻击的风险。
共建信息安全防御体系
在智能汽车信息安全问题已得到充分认识后,如何保障其安全性成为了最核心的问题。
吴昊认为,从技术角度来说,首先应建立一套检测体系和方案,对智能汽车可能存在的漏洞建立更为全面的漏洞库,同时建议通过统一的检测工具,帮助车企建立针对智能汽车的安全检测和安全攻防能力。此外,也可以借助仿真技术,对智能汽车可能存在的信息安全问题进行预判。
也有业内人士认为,安全是贯穿于汽车产品全生命周期的“关键词”,对于智能汽车而言,同样如此。
任佳表示,智能汽车安全的保障可以分为四个阶段。第一阶段是由汽车研发人员与信息安全人员共同从技术角度、法律法规角度进行预判,通过建模的方式,规避掉一些可能涉及的隐患;第二阶段严格遵循安全的开发流程,通过渗透测试和逆向测试,确保车辆符合相应的安全标准;第三阶段是安全运营阶段,建议对车辆的数据进行安全监测,及时扫描漏洞并进行安全预警,及时修补漏洞;第四阶段是智能汽车报废阶段,对车辆残留的数据应该进行统一管理,并上传云平台进行保存。
此外,更多的业内人士认为,智能汽车的信息安全需要系统的协同,共同构建防御体系。
国汽(北京)智能网联汽车研究院有限公司信息安全部罗承刚认为,从政府的角度来说,需进行顶层设计,加强法规、标准、规范、流程的建设。尤其是要推动智能汽车相关的法律法规及标准制定,让防御安全体系能够有据可依。
同时,罗承刚建议希望对智能汽车数据进行全生命周期管控,对车辆准入进行有效监管。
“合规只是起点,并不是终点,对于整个行业而言,还是要以建立网络安全基础设施的能力为导向,优化智能汽车的安全运营。”任佳认为,只有掌握了这种能力,才能应对不断变化的网络安全风险。
“从行业的角度来说,要保持开放的心态,加强协同,联合攻关,共同推动安全防护体系的建设;对于企业而言,则要以开放的心态,共享部分数据,共建智能汽车的安全基础平台。”罗承刚认为,无论是掌握具体的防护能力,还是构建防护平台,均需产业资源和技术的统筹和融合,以实现跨行业、跨领域的动态联动。