汽車智能網聯的數據安全問題已經成了整個汽車產業過程中必須重視的問題,關乎到整個汽車工業全鏈路的信息安全保障體系。
工信部新聞發言人趙志國7月16日表示,加快制定工業和信息化領域數據安全管理政策,更好地承接《數據安全法》在行業的實施落地。組織開展行業數據分級分類管理、重要數據目錄制定等相關工作,構建行業數據安全領域的標準體系,研究制定車聯網、工業互聯網等領域的數據安全的重要標準。
360集團工業互聯網安全研究院院長張建新在2021中國汽車論壇“智能網聯汽車產業發展與安全” 主題論壇上指出,軟件化編程、網聯化接入和數字化應用已成為智能網聯汽車安全風險的三大主要源頭。
數據安全問題凸顯
汽車智能聯網作為一項跨越了汽車、交通運輸、信息技術、通訊、消費電子、工業電子、媒體娛樂等多個行業的新興技術,對汽車的智能化發展起到了積極的作用。近年來,隨著5G、大數據、人工智能、車聯網、工業互聯網、物聯網等新技術新業務新模式快速發展,智能網聯汽車產業得到了蓬勃發展。
國家工業信息安全發展研究中心日前發布的《智能網聯汽車數據安全研究》顯示,2020年,我國智能網聯汽車銷量為303.2萬輛,同比增長107%,市場滲透率約為15%。2021年第一季度,L2級(半自動駕駛)智能網聯汽車的市場滲透率達到17.8%,新能源車中的L2級智能網聯汽車市場滲透率達30.9%。預計到2025年,我國L2、L3級(在特定環境中實現部分自動駕駛的操作)智能網聯汽車銷量占全部汽車銷量的50%,L4級(完全自動駕駛)智能網聯汽車開始進入市場,新增產值可達到8000億元。
在迅猛發展的同時,智能聯網汽車的數據安全也成了一個無法回避的問題。汽車智能網聯的前提是車內必須有網絡,通過各類無線方式接入到其他相關設備或互聯網,而互聯網空間里存在著各種危險的可能,這些因數據安全帶來的問題極可能影響車聯網系統的運行狀態。
“最新汽車上至少100個ECU(電子控制)單元,運行6000萬行代碼。”綠盟科技集團股份有限公司產品總監劉嘉奇透露,無人駕駛汽車代碼將達1億行以上。
“只要是由人編寫的代碼都會包含各種各樣的錯誤和漏洞。”張建新指出,盡管傳輸協議在設計中已經進行了安全性設計,也考慮了加密的需求,但仍無法避免可以利用的攻擊點。
2015年,一輛JEEP切諾基被兩名安全工程師遠程入侵并操控,此后菲亞特克萊斯勒召回了全球范圍內140萬輛汽車。今年的特斯拉Model S被黑客們僅通過遠程入侵,就控制了車輛的終端系統,通過Model S存在的漏洞打開車門并將車開走,此外還能向Model S發送命令,在車輛正常行駛中突然關閉系統引擎。
目前智能網聯汽車的安全問題首先就是泄露個人信息。車聯網實現了用戶線上和線下生活的有機結合,相關數據既涵蓋了與車輛安全運行關聯的數據,也包括了用戶數據、車聯網應用服務相關的數據,這些數據信息相結合,幾乎可以得出個人生活相關的所有關鍵數據。其次是非法操控。車輛或車聯網平臺一旦被黑客非法入侵,可能面臨車輛被遠程解鎖、遠程開車門、啟動,甚至是轉向系統、動力系統等被非法控制,造成車輛被盜取甚至車輛行駛安全事故。而更重要的是可能威脅國家安全。為更好地實現車與路的互動和周圍基礎設施的互動,智能網聯汽車會收集周圍的場景和重要地理信息的數據,“如果精度達到一定程度會影響或者威脅國家安全。” 國家工業信息安全發展研究中心副總工程師兼信息政策所所長黃鵬認為。
監管亟待加強
當下,在智能汽車發展的同時安全問題依舊是第一位的,智能汽車的數據安全性是車聯網發展道路上的重中之重。
7月12日工信部等三部門印發了《網絡產品安全漏洞管理規定》,《規定》提出,網絡產品提供者應當確保其產品安全漏洞得到及時修補和合理發布;工信部網絡安全威脅和漏洞信息共享平臺同步向國家網絡與信息安全信息通報中心、國家計算機網絡應急技術處理協調中心通報相關漏洞信息。《規定》自9月1日起施行。
國信證券分析師認為,當前政策層面對于網絡安全的重視程度空前,數據已成為核心生產要素。各類IT系統的網絡、數據等信息安全審查和投入有望實現質的提升。
工信部在4月7日公開征求對《智能網聯汽車生產企業及產品準入管理指南(試行)》(征求意見稿)的意見,上述意見稿要求:智能網聯汽車生產企業應依法收集、使用和保護個人信息,實施數據分類分級管理,制定重要數據目錄,不得泄露涉及國家安全的敏感信息。在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當按照有關規定在境內存儲。因業務需要,確需向境外提供的,應向行業主管部門報備。
業內專家建議,在車企層面,車企可以參考國內外相關標準,形成自身的安全防護體系。首先要提升核心基礎技術的安全可控能力,同時還要提升數據安全綜合防護能力,利用新一代的信息技術,包括區塊鏈技術、流量檢測技術、國密技術等,提升綜合防護的能力。
而黃鵬則從產業未來發展角度提出了建議:一是統籌產業創新發展與保障數據安全。二是盡快出臺數據分類分級指南和管理細則,智能網聯汽車行業可以借鑒金融、工業互聯網等領域出臺的相應的分類分級指南。三是建立事前風險評估和事后應急響應機制。四是重點關注跨境數據流動問題,希望后續在借鑒全球通用做法的同時,細化相應的數據流動規則。
《智能網聯汽車數據安全研究》建議,政府應積極統籌智能網聯汽車產業發展與數據安全保護,根據應用場景確定不同的數據管理要求,加快推動行業數據分類分級建設,適時推進智能汽車網絡安全強制測試,完善智能網聯汽車和自動駕駛專屬保險體系,重點關注跨境數據流動問題,加強國際交流,積極參與國際規則制定。