聚焦智能汽車安全 推進數據安全治理
浙江,美麗金秋,2021年世界互聯網大會烏鎮峰會如約而至。在大會的“互聯網之光”博覽會上,中國網絡空間安全協會組織的車聯網專區受到關注,參觀者絡繹不絕。
車聯網是我國十三五重點項目之一,對我國創新發展戰略中的智能交通、自動駕駛、5G通信、人工智能等新領域發展有重要意義,有利于加快制造強國、科技強國、網絡強國、交通強國建設,增強國家綜合實力,增進人民福祉。
“車聯網安全專區”由中國網絡空間安全協會秘書處智能車聯網安全專家組指導,國家計算機網絡應急技術處理協調中心協辦。重點展示以下方面的內容:一是當前智能汽車安全總體情況,包括風險、法規、網絡數據保護等;二是國內外企業和單位的車聯網應用展示。
車聯網網絡安全廣受關注
車聯網作為“互聯網+”時代網絡空間重要延伸,面臨重大的網絡安全與數據安全風險,必將成為重大網絡安全事件新的發生場。借助智能化、網聯化、數字化在傳統汽車行業的深入應用,智能網聯汽車已成為廣泛收集周圍環境視頻信息、個人隱私信息、車輛狀態重要信息的海量移動重要數據采集器,對我國重要數據安全及人民個人隱私安全等構成潛在威脅。而且,由于缺乏對車輛數據的有效監管能力,多起智能汽車交通事故無法分析追責。車聯網網絡安全威脅還能夠造成國家交通關鍵信息基礎設施大規模癱瘓與惡意控制,嚴重威脅我國社會安全、公共安全與人民生命安全,對我國國家安全構成新的巨大威脅,具體表現在以下方面:
——攝像頭視頻數據海量采集,威脅重要數據安全
當前的智能網聯汽車為實現自動/輔助駕駛功能,多配備多個攝像頭、雷達等傳感器設備,該類設備在車輛行駛期間,會持續收集車輛周圍360度全息影像數據,進一步獲得3D地理地圖信息。一旦車輛涉及重要或敏感人員或區域,會存在泄露重要信息風險。
——海量個人隱私數據泄露,威脅人民隱私安全
智能網聯汽車能夠實時采集車輛行駛軌跡、個人住址/單位/手機號等隱私信息、充電數據等,并存在重要和敏感數據跨境傳輸的風險,一旦傳輸內容涉及個人敏感信息及國家重要數據,會對個人、社會乃至國家造成重大數據安全威脅。
——高危漏洞大量存在,網絡安全問題突出
智能網聯汽車正逐漸部署對汽車的遠程調度、控制、更新等功能,如果惡意攻擊者獲取了信息平臺權限或劫持了通信鏈路,會導致高速移動車輛成為秘密“武器”。國家互聯網應急中心已發現車聯網漏洞多達6000余個,部分攻擊具有規模化、群體性攻擊效果,后果極其嚴重。
多方施策加強車聯網數據保護和網絡安全
針對智能網聯汽車面臨的數據安全風險,國內國際相關監管部門已開始布局,在監管法規、政策等方面有了一定的成果。
美國在2020年發布的《自動駕駛4.0》中確立了確保隱私和數據安全的技術原則,保護駕駛員和乘客的數據以及第三方的數據免受未授權訪問、收集、使用或共享等行為導致的隱私風險。
歐盟根據個人信息保護法規GDPR,在2020年發布的《在聯網車輛和出行相關應用環境下處理個人數據的指南》中,也針對車聯網中的個人數據保護提出了具體要求,強調對個人數據的保護和謹慎處理。另外,聯合國在2020年發布了《WP29汽車信息安全和信息安全管理系統》法規中也對數據安全提出了明確要求。
中國高度重視智能網聯汽車發展中涉及的數據保護和網絡安全問題,相關監管部門積極施策,相繼出臺有關管理規定與通知,加強智能汽車行業安全監管。中央網信辦等11部委于2020年聯合印發的《智能網聯汽車創新發展戰略》提出“構建全面高效的智能汽車網絡安全體系,加強數據安全監督管理”。2021年5月,國家網信辦發布《汽車數據安全管理若干規定(征求意見稿)》,對智能汽車運營者在數據收集、使用、跨境傳輸、監管配合等方面做出明確規定。工信部發布《關于加強車聯網(智能網聯汽車)網絡安全工作的通知(征求意見稿)》,從網絡安全防護、數據安全保障、漏洞管理等方面提出指導性意見和要求。我國《網絡安全法》和《數據安全法》也從宏觀法律層面,對威脅我國重要領域的網絡安全和數據安全重大風險提出明確保障要求。
國家互聯網應急中心發力車聯網安全
國家互聯網應急中心作為國內最早開展車聯網安全技術研發的團隊之一,已形成一定的車聯網網絡安全、信息安全與數據安全技術能力,在車聯網安全檢測評估、攻防演練、監測預警、仿真實驗等方面積累了一定的技術實力。
依托所承擔的北京市發改委《車聯網安全仿真與攻防技術北京市工程實驗室》項目(已結題),形成了《汽車信息安全測試要求》、《汽車信息安全測試方案》、《汽車信息安全漏洞定級標準》等內部測試規范,自主研發了6套自研車聯網和聯網汽車測試工具,已對國內8家汽車企業的21款聯網汽車實施了檢測,共發現嚴重及高危漏洞200余個。建立了國家車聯網安全漏洞庫(CNVD-IoV)作為國家信息安全漏洞共享平臺(CNVD)子平臺,目前已收錄車聯網安全相關漏洞6000余個,大部分為高危漏洞,已成為支撐車聯網安全保障的重要資源。支撐國家網絡空間監管部門開展網絡安全審查。
