行者有云第二期:数据安全保护法规背后,车企数据使用和防护难题
白鸽
2022-02-21 10:49:00
2052
智能手机时代,用户信息数据泄漏,成为了常态,甚至有言论称:用户愿意用信息数据来获得更便利的服务,此言一出,遭到全网批判。
之所以智能手机时代个人用户隐私数据被频繁暴露于网上,一方面在于智能手机崛起之时数据安全问题并没有被普及和重视,另一方面,则在于智能手机信息暴露在更深层次上,对于人们自身安危的影响比较小,主要的攻击都集中在手机本身上。然而,到了智能汽车时代,智能汽车发展天然需要收集数据的属性,以及车企从内到外的数字化转型发展,数据的使用和安全问题,逐渐成为整个行业需要密切关注的话题以及迫切需要解决的难题。相关数据显示,一辆智能网联汽车每天大概会产生 10TB 的数据,这些数据包含驾驶人员的出行轨迹、驾乘习惯、车内语音图像等个人信息,也包含车辆实时收集到的地图数据等。如果这些数据被暴露在网上,除了面临个人信息泄漏的危险之外,更重要的在于,一部分数据与车内的物理安全防护紧密相连,如车钥匙等,如果被黑客获取这部分数据,那么就有可能通过外部手段来控制车辆,曾经在电影中的场面,或许会真实的发生在现实当中。从车企的角度来说,数据更是几乎渗透了整个产业链的方方面面,从产品研发迭代、自动驾驶技术研发、企业战略营销决策、数字化营销等多个方面都离不开数据的介入,一旦某个环节被黑客攻破,那可能就面临着巨额损失。那么,如此庞大的车上数据究竟该如何合规安全的使用?一旦数据出现泄漏,车企又将会有哪些手段去进行有效的安全防护?尤其是自去年国家密集发布《个人信息保护法》、《数据安全法》以及《汽车数据安全管理若干规定(试行)》等相关法律法规的情况下,车企又该如何构建自己在数据网络安全领域的竞争力?在此背景下,汽车之心与腾讯智慧出行联合策划了「行者有云」系列沙龙,此次第二期沙龙将于 2 月 24 日 16:00-17:00,以《车企上云,如何构筑云上安全防线?》为主题,围绕车上数据安全问题展开,讨论车企如何才可以保障数据安全,以及数据的合理开发利用,有效防范潜在风险。随着汽车产业与数字化的加速融合,以及车联网、自动驾驶技术的快速发展,汽车产生的数据越来越多,要求车企对数据的处理能力也越来越强,与此同时也暴露出数据安全问题和风险隐患。车上的数据安全问题并不单单是我们认知当中的个人信息隐私泄漏问题,数据只是基础,其背后所延伸的还有软件层面上的攻防问题,安全漏洞带来的物理安全问题等。在很多科幻电影中,都曾出现过类似的场景,「黑客」通过对附近几公里的车辆进行「攻击」,控制车辆成为攻击武器。而在现实中,腾讯的科恩实验室也曾远程破解过特斯拉和宝马的系统。2016 年 9 月 19 日,腾讯科恩实验室宣布他们以「远程无物理接触」的方式全球首次成功入侵了特斯拉汽车。相较于以往的物理手段,腾讯科恩实验室研究人员此次选择从汽车车机系统和应用、车电网关和车电网络做为主要研究目标,发现多个高危安全漏洞,通过 3/4G 网络或者 Wifi 网络为攻击入口,并实现完整的攻击链控制车电网络,最终完成对特斯拉远程无物理接触式入侵。入侵成功后,研究人员可在驻车模式和行驶模式下实现对特斯拉的任意控制,甚至实现了如远程控制刹车这样在行驶模式下对驾乘人员高危的场景。2018 年 5 月,腾讯科恩实验室又发表报告指出,宝马旗下的多款车型存在多个安全漏洞,总数共多达 14 项,其中有 12 项发生于信息娱乐系统,而且当中 6 项可遥控进行入侵,4 项可经由 USB 设备攻击,而 2 项则需要物理接触。受影响的车型包括 I 系、X 系、3 系、5 系、7 系等。除了国内网络安全团队主动研发破解的汽车网络安全漏洞之外,还有很多车企是在遭受了黑客攻击之后,才真正意识到车内网络数据安全的重要性。就在年前,曾号称最安全的汽车企业,也被黑客进行了网络攻击。2021 年 11 月,沃尔沃汽车发布公告表示,「沃尔沃汽车已意识到文件存储库被第三方非法访问,截至目前的调查显示,部分研发信息在入侵期间被盗。根据目前掌握到的信息来看,这可能对公司的运营产生影响。」沃尔沃安全部门检测到未经授权的访问后,沃尔沃汽车立即实施了安全对策,包括防止进一步访问其数据库并通知有关部门。事发后,从事窃取数据并进行勒索而闻名的黑客组织 Snatch,宣布对此事负责,并在其网站上列出了沃尔沃汽车内部相关源代码。事实上,在当前的智能汽车发展中,汽车的数据安全问题,尤为值得关注。据《中国互联网发展报告(2021)》显示,2020 年我国智能网联汽车销量为 303.2 万辆,同比增长 107%,预计到 2025 年,我国 L2、L3 级智能网联汽车销量占全部汽车销量的 50%。现阶段,整个汽车数据安全领域存在着天然的一对儿矛盾,即自动驾驶发展天然需要收集数据信息,而数据信息的收集和使用,也势必会带来网络安全问题。前文也有所言,一辆智能网联汽车,一天能够收集到 10TB 的数据量,一旦这些数据泄漏,除了用户基本信息泄漏之外,车上数据泄漏最致命的问题在于,一方面黑客可以通过攻击车企内部数据,对公司经营造成影响,从而造成巨额损失。2020 年,有媒体报道称,本田汽车公司遭遇了网络黑客的「攻击」,致使公司多个国家业务被迫停产,连客户和金融业务也被关闭,损失极大金额。虽然本次攻击并不是直接针对车辆,但是随着车辆产生的数据种类越来越多,数据越来越重要,总有一天黑客会将邪恶的触手伸向汽车,就像电影中的场景一样,黑客通过攻击车内的安全漏洞,远程控制车辆,可严重威胁驾驶者的生命安全。伴随着我国智能网联汽车的发展,数据安全问题越来越受到车企的关注。同时,在政策方面也给予了汽车数据安全的高度重视。目前,国内汽车厂商针对数据安全问题,开始未雨绸缪,陆续开始组建自身的信息安全团队,加强流程体系建设,保障企业对信息安全技术持续投入研发的合理性和动力。除了加强自身对汽车数据安全的团队建设之外,国内车企也积极于选择和互联网公司展开合作,利用互联网行业多年积累的丰富经验,升级自身信息安全防护系统,增加签名和白名单防御身份仿冒等安全防护技术,保障用户在车辆驾驶过程中,安全使用联网功能。同时,国内车企也会主动邀请国内外著名的信息安全研究团队对车辆进行攻击,查找潜在漏洞。比如腾讯科恩实验室和 360 Skygo,以及更为主流的信息安全研究团队,为车厂提供广泛而种类齐全的攻击测试,力图尽可能多地找到产品缺陷和漏洞。以上汽集团为例,早在 2018 年,上汽就在智能网联网络安全领域展开布局,成立行业内首个网络安全实验室与安全应急响应中心。2019 年,上汽在「5G+L4(特定场景下自动驾驶)」洋山港智能重卡的开发过程中,全面系统地导入网络安全体系,并根据国家网络安全法落实等级安全保护制度,成为中国汽车行业首个在国家网络安全监管机构备案的智能驾驶车辆项目。
就在去年 4 月份,上汽集团还联合腾讯宣布将通过组建网络安全联合实验室,围绕智能网联汽车网络安全标准规范、攻防技术、安全研发、安全运营等领域开展深度合作,携手打造用户隐私安全、数据安全、产品安全的「网络安全底座」。据了解,此次上汽与腾讯组建的网络安全联合实验室将针对智能网联汽车开展车辆攻防和安全技术研发工作,共同打造网络安全产品;将网络安全建设融入整车研发制造流程,提升智能网联汽车云管端一体化的网络安全水平。此外,联合实验室还将建立覆盖智能网联汽车全生命周期的网络安全运营体系,实现快速、全面、精准的监测预警和应急响应,形成行业领先的智能网联汽车网络安全运营能力。当前,虽然数据安全问题越来越受到重视,但我国智能网联汽车数据安全保障体系建设工作还处于摸索阶段,数据采集、存储、传输、使用和跨境流动等环节均存在安全风险。随着车内数据的收集、上传、流动和使用,车企该如何合理合法且安全的让这些数据发挥真正的价值,仍是现阶段车企所面临的主要难题。汽车之心与腾讯智慧出行联合策划了主题为《以变应变——车企数字化转型大碰撞》的「行者有云」系列沙龙第二期:车企数据上云,如何构筑云上安全防线?将于 2022 年 2 月 24 日开启线上直播。届时我们将邀请上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全联合实验室负责人陈宁,以及腾讯安全策略发展中心总经理吕一平来共同探讨车企数字化转型中,数据上车背后,车企该如何保障数据安全,以及数据的合理开发利用,有效防范潜在风险。欢迎各位扫描海报下方二维码,和我们一起探索车企数据安全防护建设的未来趋势发展。
本文为汽车之心原创文章,作者:白鸽,如需转载,请联系授权。违规转载法律必究。
参与评论
请您注册或者登录汽车之心社区账号即可发表回复
去登录
相关评论(共0条)
查看更多评论