谁来为智能汽车的数据安全负责?
“安全是最大的豪华,隐私是至上的尊贵。”余承东的名言,并非仅“遥遥领先”一句。
随着智能汽车时代的到来,车辆的定义已然发生了变化。汽车不再仅仅是出行工具,而是成为了如手机一般的数字产品。
数据安全,也成为用户购车时考虑的重要因素之一。
《广州日报》发起的一项针对智能车的调研显示,除了品牌、外观、价格、续航因素,43%的用户已将系统安全性/数据隐私纳为购车的首要考虑因素。
与之相应的,是车企对数据安全的重视也与日俱增。
比如华为在问界M9上市时提出的“隐私是至上的尊贵”。
上汽集团则提出“网络和数据安全是智能网联汽车基石,网络和数据安全关乎企业生存、关乎企业发展”的口号,并将其上升到集团战略的高度。
极氪同样在数据安全方面投入良多,在获得国际标准、测试及认证机构BSI授予的三项信息安全管理体系相关认证的同时,极氪还参与了我国首个汽车数据安全标准《信息安全技术汽车数据处理安全要求》的编写。该标准已于2022年正式发布。
不过,从整体发展情况来看,现阶段车企针对汽车数据网络安全防护的探索仍处于初期阶段,企业想要逐渐构建自己的安全防护网络体系,还需要一段时间。
有数据显示,金融行业一般在网络安全方面的研发投入可能在6%-8%之间,而当前汽车行业的投入则普遍在2%左右。
但随着汽车智能化发展的深化,用户和车企的重视程度提升,数据安全对整个汽车行业的重要性已毋庸置疑。保障车辆的数据安全,正在成为汽车的新标配。
数据安全,悬在空中的一把利刃
一辆智能网联汽车配备了大量摄像头、雷达等传感设备,每天可收集海量数据。
据上汽集团董事长陈虹根据相关研究机构数据估算,一辆自动驾驶测试车辆每天产生的数据量最高可达10TB。除了驾乘人员的面部表情、动作、目光、声音数据,这些数据也包括车辆地理位置、车内及车外环境数据、车联网使用数据等。
统计数据显示,2023年上半年,具备辅助驾驶功能的乘用车新车销量占比已达到42.4%,比上年同期增长近10个百分点。
智能化作为新汽车的下半场,已步上正轨。
根据预测,到2025年,具备L2级辅助驾驶功能的乘用车渗透率将超过70%,每年上传云端的数据将超过7万PB。
而随着大模型的上车,以及智能驾驶能力的提升,智能汽车涉及的数据量更将迎来爆发式的增长。
如此庞大的数据量,也意味着以数据驱动的智能网联汽车,需要频繁面对数据泄漏、网络攻击等安全隐患问题。2022年,曾有汽车博主分享过一段视频,视频内容显示,其驾驶车辆的行车记录仪能查看同车型列表,并可直接调取它们的行车记录仪画面观看。这在当时引起了行业热议。车主的行车记录仪内容能被其他人看到,这是否侵犯了消费者隐私?
同年,有车企遭遇邮件勒索,攻击方称已窃取到其内部数据,并以泄露数据为要挟,要求企业支付高额比特币。
工信部车联网动态监测显示,2020年以来,汽车行业针对整车企业、车联网信息服务提供商等相关企业的恶意攻击事件达到280万余次。
2023年初至今,就已发生过20起与车企相关的大规模数据泄露事件,泄露数据涉及企业内部业务、车辆驾驶、用户隐私等众多数据。
过去5年中,全球汽车行业因网络攻击造成的数据泄漏损失超过5000亿美元,比金融行业更高。
在这样的背景下,用户将隐私安全作为一种期待,车企将数据合规作为销售的卖点,也成为自然而然的结果。
蔚来数据合规及反垄断法务负责人王诗笋表示,最初,汽车的基本功能是将人安全地从a点送到b点,在这个场景中,乘客的期待自然是车要可靠,即车辆是可控的。
而今天的智能网联汽车许多功能都由数据驱动,因此,对用户来说,对于车辆可控的期待,自然也包括了对隐私安全、数据合规的期待。
腾讯安全数据安全产品总监徐展同样认为,对消费者来说,今天的智能网联汽车有一部分信息是不可控的。既然让渡了部分数据的使用权,消费者的期待自然是希望车企用自己的数据提供更好的服务,而不是泄露数据对自己造成一些风险。
在智能汽车时代,数据安全的重要性正在与日俱增。
为此,国家也推出多项法律条款,对企业在数据安全和隐私保护等方面提出了要求。
2021年10月1日,《汽车数据安全管理若干规定(试行)》正式施行;2022年2月,工信部下发《车联网网络安全和数据安全标准体系建设指南》;2023年7月,《汽车整车信息安全技术要求》等四项“强标”也完成征集意见稿,即将进入正式发布。
有得有失,车企在摸索前进
车企在数据安全防护方面,做的如何?
电动汽车百人会车百智库联合腾讯云对多家车企进行了一项调查,并推出《智能网联汽车数据安全年度洞察(2023)——企业免疫力建设》报告,就当前汽车行业的数据安全问题进行了详细解读。
根据报告,目前,多数车企凭借多年在信息化技术的投入和应用,以及与第三方安全服务企业的合作,在数据安全治理、边界安全、端点安全和安全运营方面已经形成了较为完善的管理和技术体系,但在应用开发安全上还存在短板。
目前,80%以上的整车企业都自建了数据安全团队,并配备足够的安全人员。如长城汽车由法务、IT联合组建了数据合规办公室,各业务设置专职数据合规组织或岗位。但部分企业还流于形式。
从管理角度来看,车辆数据安全主要包括三个方面,一个是车辆本身数据,二是公民个人数据,包括人脸、声音、图像视频等,三是车企从车辆设计到制造、销售到服务的数据,也即企业的数据。
报告提出,目前关于车和人的数据已经得到了较好的监管,但企业相关数据的管理仍有待优化。
边界安全指的是通过一系列保护措施保护计算机网络和系统的周边区域,防止未经授权的访问或者攻击。
虽然智能网联汽车数据安全边界复杂度较传统汽车更高,但整体来说,数据安全边界风险还是可控的。这与车企通常会采用云服务商相对成熟的安全方案不无关系。
在端点安全方面,目前汽车数据主要包括云管端三方面的安全风险。
云端与通信端的安全防护技术与传统IT信息安全防护基本一致。而在车端,目前包括安全芯片、国密算法、入侵检测以及车机的安全卫士等均已逐步上车应用,但受制于车端计算资源和存储资源的限制,车端的防护强度还有待加强。
腾讯智慧出行解决方案总经理姚振向雷峰网表示,随着现代汽车的日益电子化和复杂化,对智能汽车的新的攻击面仍在不断涌现,例如,今天的车机信息娱乐模块,以及车主手机上的APP,都增加了车端被攻击的可能。同时,车辆内部的结构也越来越复杂,导致今天的汽车数据安全问题,成为极具挑战性的工作。
在安全运营方面,企业已经形成相对完备的安全运营体系,但由于企业侧本身数据价值密度大,车企自身能力不一等问题,数据泄漏的事件仍时有发生。
姚振认为,做好数据安全管理重要的是把握用户的体验、成本和合规三者之间的平衡。单独做用户体验或者合规都不难,但如果做得特别合规,带来的结果可能是用户体验不好,或者成本批量上涨,因此,需要把握三者的平衡。
应用开发安全指的是从开始就将合规需求嵌入到开发过程中,但由于目前很多智能化零部件依然采购自第三方供应商,且部分代码不向车企开放,导致数据安全在供应链上也存在权责划分不够明确的情况。
这是今天汽车行业在数据安全防护上仍需面对的现状。
查漏补缺,把专业的
事交给专业的人
汽车数据安全的重要性提升,众多第三方企业也开始布局数据加密、脱敏等面向数据全生命周期的安全技术和服务。
这其中,既包括腾讯安全、360、绿盟科技等原来专注互联网安全的企业,也包括专注于汽车行业的为辰信安、联友科技等新晋厂商。
未来,第三方安全服务企业也将成为汽车产业内一个重要的组成部分。
徐展认为,作为第三方平台,腾讯云与腾讯安全部门能够充分发挥自身作为安全厂商的能力,并且愿意配合车企把相关安全工作做好。对车企来说,在这方面应该是更欢迎外部力量的,而不是单纯依靠内部团队把安全的事情做好。
以上汽与腾讯的合作为例。
2021年4月,上汽集团和腾讯联合宣布将通过组建网络安全联合实验室,围绕智能网联汽车网络安全标准规范、攻防技术、安全研发、安全运营等领域开展深度合作。
在车辆的全生命周期中,上汽都明确提出了数据安全建设的要求。
例如,在汽车投产前,就需要对产品的零部件和整车,在技术和流程上,从安全设计、渗透测试、投产运营等方面做一系列的测试研发。
对于云端到车端的通讯链路,用加密方法确保上汽的链路不会被截断或被中间人截取。同时,上汽对车与车之间传输的信息也给予加密保护,保证数据的安全性和唯一性。
腾讯定位于汽车行业数字助手的身份,可以为企业提供一体化安全解决方案。
根据腾讯云的介绍,其汽车行业一体化安全解决方案包括基础安全能力、车联网安全能力和业务安全能力三大模块,从开放、运营、云管端等多个维度为企业提供数据安全防护。
首先,在基础安全能力方面,腾讯一体化安全解决方案可帮助车企快速构建起基础的云原生安全防线。在公有云、私有云,以及企业办公安全等方面都提供了安全防护体系。
在车联网安全方面,腾讯的车联网安全检测平台可对车辆零部件系统的软件资产实现统一管理。
在车辆研发阶段,即支持车企尽早进行安全介入和安全管控。在测试验证阶段,腾讯安全科恩实验室研发的系统安全审计平台sysAuditor支持系统级安全审计,可捕获攻击链、敏感信息等安全威胁,帮助车企减少威胁处理成本、提升测试人员安全水平、打造安全竞争能力。
腾讯科恩实验室研究员景鹏飞以车企官方APP为例介绍了科恩实验室在保障数据安全方面的能力。
科恩实验室的研究员发现某款APP由于安全性不佳,可逆向通过APP找到和车交互的加密算法,而且,攻击者还能在用户手机上得到一个已经存好的密钥。有了加密算法和密钥,攻击者就能轻松地把车开走。
发现漏洞后,实验室将其报给供应商,进而对其进行了及时的修复。
早在2016、2017年,科恩实验室就分别对特斯拉Model S和Model X的网联模块进行了深入安全研究,利用安全漏洞对特斯拉进行无物理接触远程攻击,实现了对特斯拉驻车状态和行驶状态下的远程控制。
而在业务安全方面,腾讯车联网运营中心可为车企提供一站式、可视化、自动化的车联网安全运营管理,构建统一监测体系和灵活的响应机制。
徐展向雷峰网 (公众号:雷峰网) 表示,腾讯自己有做地图,同时也有做车内应用,对于数据合规有更多的认识,而科恩实验室在漏洞攻击方面多年的经验也让腾讯对数据安全有更多的理解,这是腾讯在汽车数据安全上独有的优势。
此外,腾讯也是首家推出汽车专有云的云服务厂商。
除了与上汽集团组建网络安全联合实验室,腾讯安全也与如祺出行、东风汽车等共同成立了实验室,为企业的数据安全提供保障。
随着数据安全在车企决策中的重要性日渐增加,对企业来说,借助第三方安全服务公司的专业能力或将是更好的选择。
汽车的智能化时代已经到来,消费者对数据安全、隐私安全的重视与日俱增。“隐私是至上的尊贵”,这句口号多少带着些“遥遥领先”式的表达,但其传达的是不容忽视的用户权利与行业趋势。
雷峰网原创文章,未经授权禁止转载。详情见 转载须知 。