車聯網數據安全開始影響產業發展進程
隨著互聯網、智能化技術在汽車領域的不斷拓展,車聯網作為汽車、電子、信息等深度融合的新興產業生態,已成為推動制造業高質量發展的重要動力。然而,安全問題已經成為影響車聯網行業健康發展的一個巨大隱患。業界專家認為,當下車聯網的安全問題已經由實驗室研究院開始走向產業化對抗,在經過整車安全單點防護階段之后,當前行業進入體系化、標準化建設階段,未來還將迎來實戰化階段。
黑客攻擊5年增長20倍
“在我們調研過程中獲知,一輛智能網聯汽車每天至少收集10TB的數據,不僅數量極大,而且涉及駕乘人員的出行軌跡、習慣、語音、視頻等等,一旦遭受侵害會泄露個人隱私。”國家工業信息安全發展研究中心副總工程師黃鵬表示,2020年全球相關惡意攻擊超過280萬余次,黑客通過網絡攻擊的手段可以控制車輛行駛,也可以利用軟件的漏洞操控智能網聯汽車。
作為智能網聯汽車“明星”品牌,特斯拉就曾被找出大量安全漏洞。特斯拉研發的第二款汽車產品Model S發布兩年后就被發現了漏洞,而利用該漏洞缺陷,控制者能夠通過遠程控制實現開鎖、鳴笛等操作。
2021年,特斯拉再度因攝像頭記錄駕駛員面部特征及車內大部分空間而陷入“隱私門”,其中被曝光的監控錄像就是一名黑客入侵特斯拉汽車后獲得的信息。除了網絡、程序技術帶來的安全風險外,自動駕駛、人工智能等數字化技術的應用也讓汽車的安全風險相應增加。在有關數字化應用的攻擊中,黑客越來越多地瞄準大數據、人工智能和自動駕駛系統。
據介紹,過去5年間,黑客對智能汽車攻擊的次數增長了20倍,其中近30%的攻擊涉及車輛控制。而目前大部分的車型在信息安全防護水平方面偏低,車內相關聯網部件及控制部件防護可靠性不高,且缺失一定的安全策略,這會導致車內敏感信息泄露或被篡改,以及車輛行駛中的異常行為,還有可能危及人的生命安全。2020年數據顯示,“白帽子”發現的安全問題和黑客導致的安全事件基本是1:1的比例,由此可見車聯網的安全問題已經由實驗室研究院開始走向產業化對抗,而汽車安全事件中網絡安全問題占比也高達六成左右。
對于智能網聯汽車來說,現在的軟件安全問題還只是個開始。360集團工業互聯網安全研究院院長張建新表示,在經過整車安全單點防護階段之后,當前行業進入體系化、標準化建設階段,未來還將迎來實戰化階段。新的技術引入帶來了新的風險點,隨著車聯網使用范圍不斷拓展,新的問題也將會源源不斷地出現。
車聯網安全迫在眉睫
當前,我國車聯網產業發展進入快車道,產業規模不斷擴大。我國汽車保有量已超過3.8億輛。其中,智能網聯汽車數量快速增加,預計到2022年智能網聯汽車將超過7800萬輛。保障智能網聯汽車數據安全已經成為技術升級和行業發展的必然需求,也是保障智能網聯汽車行業健康發展的必要條件。
智能網聯汽車的安全問題由來已久,從最早特斯拉汽車顯現出被遠程控制的可能性以來,汽車企業等業內主體也逐漸重視起了汽車安全問題。特斯拉最初并不承認存在信息安全問題,但在2017年美國州長協會會議上,馬斯克承認“車隊級別的黑客攻擊”是特斯拉最擔心的事情。此后,車聯網安全問題被越來越多的汽車企業和科技企業所重視。目前,各大車企已經相繼推出了多個關于車聯網安全的整體解決方案,智能網聯汽車的安全防御體系已經逐步建立起來。
智能網聯汽車是我國“十四五”規劃中大力發展的重要內容,它是基于新一代信息通信技術和大數據、人工智能手段,實現車內、車與云平臺、車與車、車與路、車與人等全方位網絡鏈接與智能管理的技術體系。伴隨智能網聯汽車產業發展,車聯網數據應用場景眾多,數據類型廣、變化速率快,對數據安全提出了更高要求。
同時,由于車聯網是新一代網絡通信技術與汽車、電子、交通等領域深度融合的新業態,車聯網網絡安全標準體系需要從車聯網基本構成要素出發,針對車載聯網設備、基礎設施等關鍵環節,提出覆蓋終端與設施安全、網聯通信安全等方面的技術架構。
業內專家表示,車聯網的能力驗證體系中需要引入政府、車企、車聯網應用廠商等多個參與方,才能一同構建車聯網的安全能力。據了解,目前國內已經有無錫、天津、長沙等國家級車聯網先導區。這些先導區圍繞工信部各項指示要求建設,其目的是為了解決標準化協議互通、數據安全、網絡安全、商業應用模式等核心問題。
安全體系加快構建
近日,工信部發布了《車聯網(智能網聯汽車)網絡安全標準體系建設指南》(征求意見稿),提出到2023年底,初步構建起車聯網安全標準體系,完成50項以上重點急需安全標準的制定和修訂工作,到2025年,形成較為完備的車聯網安全標準體系,完成100項以上重點標準。
而在此之前不到一個月的時間內,工信部等部門已經連發多個文件強調車聯網安全。其中,工信部發文要求車企聯合電信企業,負責車聯網卡的實名登記工作,包括建立嚴格的管理制度、建設管理平臺,以及開展車聯網身份認證和安全信任試點工作等。
今年以來,關于車聯網安全的頂層設計不斷完善。今年4月,工信部就發布了《智能網聯汽車生產企業及產品準入管理指南(試行)》征求意見稿,從企業和產品兩方面,對智能網聯汽車網絡安全作出了多項要求,包括依法收集、使用和保護個人信息,不得泄露涉及國家安全的敏感信息等。同月,全國信息安全標準化技術委員會也發布了《信息安全技術網聯汽車采集數據的安全要求》標準草案。5月,國家網信辦會同有關部門起草了《汽車數據安全管理若干規定(征求意見稿)》,對汽車數據從收集、分析、存儲到傳輸、查詢、應用和刪除等全流程作了較為詳細的規定。6月,全國人大常委會表決通過了《數據安全法》,數據安全已經上升到了國家安全層面。
這些強化車聯網安全的最新舉措,圍繞車與云安全通信、車與車安全通信、車與路安全通信、車與設備安全通信等方面展開,涉及車輛定位及感知數據的可信采集、汽車遠程升級可信驗證、基于安全通信的輔助駕駛和有條件自動駕駛應用、車路協同、車輛遠程控制、無鑰匙進入、新能源汽車充電應用等大量應用場景。這些也是互聯網企業、車企乃至各大車聯網示范區正在普遍測試的場景。
工信部表示,伴隨汽車網聯化發展,網絡攻擊威脅加速向車端、車聯網平臺蔓延,車聯網網絡安全事件不僅影響公民隱私、財產和生命安全,甚至可能危害社會安全和國家安全。因此,亟需面向車聯網典型應用場景,建立車聯網(智能網聯汽車)網絡安全標準體系,發揮標準引領規范作用,支撐車聯網安全健康發展。
據張建新介紹,隨著各方對安全問題的日益重視,車聯網的行業安全標準體系在逐步完善,車聯網的安全防御體系也已經逐步建立起來,并開始逐步應用。
同時,強化車聯網安全需要相關行業企業協同發展,包括政府、汽車企業、電信企業、互聯網企業、電子零部件企業、網絡安全企業等都需要進一步加大對車聯網安全的投入,從而共同完善車聯網安全保護體系,提升車聯網安全能力和水平。在政策密集出臺的背景下,有些企業特別是跨國企業已經行動起來。特斯拉近期宣布在中國建立數據中心以實現數據存儲本土化,福特、大眾、寶馬等車企也已經或打算在中國建立數據中心。
內容來源“中國信息安全”公眾號
