数据勒索频繁发生 智能网联汽车如何设置“安全锁”?
本报记者 陈燕南 北京报道
“汽车中的摄像头采集的人脸信息会不会被滥用?黑客会不会在高速公路行驶途中刹车、遥控方向盘或以解锁车门为交换条件进行勒索?”近日,《中国经营报》记者发现,随着智能网联汽车的发展,不少消费者对数据安全产生了疑惑和担忧。
根据中研普华产业研究院发布的《2024—2029年中国智能网联汽车行业深度调研及投资机会分析报告》,预计到2025年,中国智能网联汽车产量将达到2.59亿辆,在汽车保有量中的占比约75.6%。
“随着智能网联汽车的发展和应用,数据成为边云协同计算的关键要素,但汽车数据安全风险也在增加。”国家工业信息安全发展研究中心数据安全所技术研究部副主任柳彩云在第四届沈阳智能网联汽车大会上表示。
柳彩云表示:“近年来,汽车数据安全的攻击路径逐渐变多,最近我们监测工业领域数据安全风险情况,发现一个特点,汽车在数据泄露上属于比较突出的行业,汽车领域中针对车企数据的勒索、数据的泄露、数据暗网交易的风险和事件频繁发生。”
数据泄露风险逐年攀升
有数据显示,一辆智能网联汽车每天至少收集10TB的数据,不仅数量极大,而且涉及驾乘人员的出行轨迹、习惯、语音、视频等关键信息,一旦遭受侵害会泄露个人隐私。除此之外,智能网联汽车的产业链也在不断延展,相关产业链涉及的数据将更加庞大。
“2023年上半年汽车领域的网络趋势报告提到,汽车行业的数据泄露事件占汽车安全事件总数的37%,数据泄露的风险也在逐年攀升。”柳彩云表示。
柳彩云介绍,据工业和信息化领域数据安全风险信息报送共享平台统计,2023年汽车行业的数据安全风险达到281起。“这里面只是风险,并不一定是真正酿成实际的数据泄露或者是数据交易的事件。比2022年整体上升了251%。”她说道。
中国汽研北京院数据安全技术主任宋希在大会上则表示,目前在“车路云一体化”发展的过程当中,我国汽车行业面临的风险不仅是车机端可能发生的攻击,同时路侧的设备,以及在进行V2X通信方式的模式之下,都有可能成为下一个攻击的途径或者是要点。
“在路侧设备和传输通道都有可能会遭受劫持,从而获取我们的重要数据。对于未来的技术以及安全驾驶会造成非常严重的影响。”她说道。
宋希认为,对于汽车行业,大家都有意愿进行共享、使用数据,但可能基于现在一些数据具体保护方面的能力或者是技术方面的限制,许多企业其实对这方面还是有一定的顾虑,这也是影响汽车行业数据方面没能实现共享的因素之一。
“制定数据分类分级标准并完成合规备案”
智能化是汽车产业发展的重要趋势,而数据则是实现智能化的基石。随着汽车智能化程度越来越高,守好数据确保安全,关乎到用户的权益,更关乎行业发展进程。而汽车企业作为数据运营的主体,是数据安全的主体责任。
记者注意到,2024年2月26日,工业和信息化部印发《工业领域数据安全能力提升实施方案(2024—2026年)》,提出了具体的目标:到2026年年底,工业领域数据安全保障体系基本建立。
8月1日,为进一步加强搭载组合驾驶辅助系统的智能网联汽车准入、召回和车辆软件在线升级管理,工业和信息化部装备工业一司联合市场监管总局质量发展局组织编制了《关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知(征求意见稿)》,向社会公开征求意见。
其中提到,健全安全保障能力。企业生产搭载组合驾驶辅助系统的智能网联汽车产品的,制定相应的安全管理制度,明确安全责任部门和负责人,健全流程、方法、工具等设计验证能力,完善数据安全保障、网络安全保障、OTA升级管理、功能安全保障、预期功能安全保障等能力,保障在产品开发、生产、运行等阶段进行有效的安全管理,健全企业产品技术标准和质量安全体系,持续保障产品质量安全。
中国信息通信研究院技术与标准研究所车联网部副主任于润东则给出了具体建议:“除最基础的身份验证外,还需要进行互信,包括不同车企、不同城市以及工信和公安跨部门体系的互信等。此外,我们还需在基础设施网络安全防护、数据合规处理(进行互信),无论是车辆采集数据还是路端采集数据,都需要满足网信、地信、个人信息保护以及各个管理部门之间的要求。”
柳彩云则建议,应建立数据安全管理制度体系。一般从管理制度来说分成四层,一是战略,二是管理具体的办法,三是标准指南,四是操作表单。针对不同级别的数据提出相应强度安全防护的要求。同时,她还建议,应建设数据安全的防护技术手段以及建设数据安全监测预警手段、开展数据安全风险评估以及针对不同的业务部门,以及管理层来开展数据安全的教育培训。
她表示,车企应重点做好几项关键任务:制定数据分类分级标准并完成合规备案;提供数据安全意识培训;建立覆盖数据全生命周期的安全管理制度;实施数据加密、操作审计、监测预警等技术措施;建立常态化的数据安全监测和预警体系;定期进行数据安全风险评估,确保合规。
宋希则建议,比如说车端一些涉及个人信息,可以有一个告知同意的过程。“针对敏感个人信息要进行单独的同意,另外,我们要分类型进行一些同意的操作。我们也建议企业开展风险评估方面的工作。”
(编辑:张硕 审核:童海华 校对:颜京宁)