记者/于建平 编辑/翟亚男
汽车智能网联的数据安全问题已经成了整个汽车产业过程中必须重视的问题,关乎到整个汽车工业全链路的信息安全保障体系。
工信部新闻发言人赵志国7月16日表示,加快制定工业和信息化领域数据安全管理政策,更好地承接《数据安全法》在行业的实施落地。组织开展行业数据分级分类管理、重要数据目录制定等相关工作,构建行业数据安全领域的标准体系,研究制定车联网、工业互联网等领域的数据安全的重要标准。
360集团工业互联网安全研究院院长张建新在2021中国汽车论坛“智能网联汽车产业发展与安全” 主题论坛上指出,软件化编程、网联化接入和数字化应用已成为智能网联汽车安全风险的三大主要源头。
数据安全问题凸显
汽车智能联网作为一项跨越了汽车、交通运输、信息技术、通讯、消费电子、工业电子、媒体娱乐等多个行业的新兴技术,对汽车的智能化发展起到了积极的作用。近年来,随着5G、大数据、人工智能、车联网、工业互联网、物联网等新技术新业务新模式快速发展,智能网联汽车产业得到了蓬勃发展。
国家工业信息安全发展研究中心日前发布的《智能网联汽车数据安全研究》显示,2020年,我国智能网联汽车销量为303.2万辆,同比增长107%,市场渗透率约为15%。2021年第一季度,L2级(半自动驾驶)智能网联汽车的市场渗透率达到17.8%,新能源车中的L2级智能网联汽车市场渗透率达30.9%。预计到2025年,我国L2、L3级(在特定环境中实现部分自动驾驶的操作)智能网联汽车销量占全部汽车销量的50%,L4级(完全自动驾驶)智能网联汽车开始进入市场,新增产值可达到8000亿元。
在迅猛发展的同时,智能联网汽车的数据安全也成了一个无法回避的问题。汽车智能网联的前提是车内必须有网络,通过各类无线方式接入到其他相关设备或互联网,而互联网空间里存在着各种危险的可能,这些因数据安全带来的问题极可能影响车联网系统的运行状态。
“最新汽车上至少100个ECU(电子控制)单元,运行6000万行代码。”绿盟科技集团股份有限公司产品总监刘嘉奇透露,无人驾驶汽车代码将达1亿行以上。
“只要是由人编写的代码都会包含各种各样的错误和漏洞。”张建新指出,尽管传输协议在设计中已经进行了安全性设计,也考虑了加密的需求,但仍无法避免可以利用的攻击点。
2015年,一辆JEEP切诺基被两名安全工程师远程入侵并操控,此后菲亚特克莱斯勒召回了全球范围内140万辆汽车。今年的特斯拉Model S(配置|询价)被黑客们仅通过远程入侵,就控制了车辆的终端系统,通过Model S存在的漏洞打开车门并将车开走,此外还能向Model S发送命令,在车辆正常行驶中突然关闭系统引擎。
目前智能网联汽车的安全问题首先就是泄露个人信息。车联网实现了用户线上和线下生活的有机结合,相关数据既涵盖了与车辆安全运行关联的数据,也包括了用户数据、车联网应用服务相关的数据,这些数据信息相结合,几乎可以得出个人生活相关的所有关键数据。其次是非法操控。车辆或车联网平台一旦被黑客非法入侵,可能面临车辆被远程解锁、远程开车门、启动,甚至是转向系统、动力系统等被非法控制,造成车辆被盗取甚至车辆行驶安全事故。而更重要的是可能威胁国家安全。为更好地实现车与路的互动和周围基础设施的互动,智能网联汽车会收集周围的场景和重要地理信息的数据,“如果精度达到一定程度会影响或者威胁国家安全。” 国家工业信息安全发展研究中心副总工程师兼信息政策所所长黄鹏认为。
监管亟待加强
当下,在智能汽车发展的同时安全问题依旧是第一位的,智能汽车的数据安全性是车联网发展道路上的重中之重。
7月12日工信部等三部门印发了《网络产品安全漏洞管理规定》,《规定》提出,网络产品提供者应当确保其产品安全漏洞得到及时修补和合理发布;工信部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。《规定》自9月1日起施行。
国信证券分析师认为,当前政策层面对于网络安全的重视程度空前,数据已成为核心生产要素。各类IT系统的网络、数据等信息安全审查和投入有望实现质的提升。
工信部在4月7日公开征求对《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)的意见,上述意见稿要求:智能网联汽车生产企业应依法收集、使用和保护个人信息,实施数据分类分级管理,制定重要数据目录,不得泄露涉及国家安全的敏感信息。在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关规定在境内存储。因业务需要,确需向境外提供的,应向行业主管部门报备。
业内专家建议,在车企层面,车企可以参考国内外相关标准,形成自身的安全防护体系。首先要提升核心基础技术的安全可控能力,同时还要提升数据安全综合防护能力,利用新一代的信息技术,包括区块链技术、流量检测技术、国密技术等,提升综合防护的能力。
而黄鹏则从产业未来发展角度提出了建议:一是统筹产业创新发展与保障数据安全。二是尽快出台数据分类分级指南和管理细则,智能网联汽车行业可以借鉴金融、工业互联网等领域出台的相应的分类分级指南。三是建立事前风险评估和事后应急响应机制。四是重点关注跨境数据流动问题,希望后续在借鉴全球通用做法的同时,细化相应的数据流动规则。
《智能网联汽车数据安全研究》建议,政府应积极统筹智能网联汽车产业发展与数据安全保护,根据应用场景确定不同的数据管理要求,加快推动行业数据分类分级建设,适时推进智能汽车网络安全强制测试,完善智能网联汽车和自动驾驶专属保险体系,重点关注跨境数据流动问题,加强国际交流,积极参与国际规则制定。