地址:北京市东城区建国门内大街26号新闻大厦7-8层
传真:861066090016
邮编:100005
本文旨在分析法律法规、标准对网络数据安全事件应对的要求,并为智能网联汽车厂商提出应对此类事件的参考建议。
一、智能网联汽车网络数据安全事件分类
(一)按照事件类型分类
《网络安全法》第25条列举了几类典型的可造成网络安全事件的风险,包括“系统漏洞、计算机病毒、网络攻击、网络侵入等”,但并未明文定义网络安全事件。《公共互联网网络安全突发事件应急预案》第1.3条规定“本预案所称网络安全突发事件,是指突然发生的,由网络攻击、网络入侵、恶意程序等导致的,造成或可能造成严重社会危害或影响,需要电信主管部门组织采取应急处置措施予以应对的网络中断(拥塞)、系统瘫痪(异常)、数据泄露(丢失)、病毒传播等事件。”
《数据安全法》及《工业和信息化领域数据安全管理办法(试行)》均没有对数据安全事件的定义,《数据安全法》仅在第23条及第29条提及“数据安全事件”。
(二)按照攻击者常用的攻击载体分类
近日,研究机构Upstream发布了《2023年全球汽车行业网络安全报告》[2],在过去5年中,近70%的汽车安全威胁都是由远距离的网络攻击行为引发。随着智能网联汽车变得更加智能化和数字化,智能网联汽车厂商拓展出了越来越多的商业模式,给了网络攻击者更多的攻击载体。主要的8项攻击载体及占比如下:
二、智能网联汽车网络数据安全事件应急预案
(一)应急预案的制定依据
我们认为,智能网联汽车厂商可参考《公共互联网网络安全突发事件应急预案》、《上海网络安全突发事件应急预案》及《信息安全技术个人信息安全规范(GB/T35273-2020)》的内容,结合《网络安全法》、《数据安全法》、《个人信息保护法》的规定要求,制定符合厂商自身实际情况的应急预案。
(二)应急预案的结构
工业和信息化部印发的《公共互联网网络安全突发事件应急预案》,虽主要面对于公共互联网网络安全突发事件,但考虑到智能网联汽车厂商的用户规模、数据量级等,亦可以参照该应急预案。而《上海网络安全突发事件应急预案》是进一步结合地方实际情况进行的细化,两者在体例上基本相似。
《信息安全技术个人信息安全规范(GB/T35273-2020)》所规定的应急响应及处置则与《公共互联网网络安全突发事件应急预案》的体例大致相似,其主要从4点描述了发生个人信息安全事件后的处置要求:
(2)评估事件可能造成的影响,并采取必要措施控制事态,消除隐患。
(4)个人信息泄露事件可能会给个人信息主体的合法权益造成严重危害的,如个人敏感信息的泄露,按照10.2条的要求实施安全事件的告知。
(三)典型事件
笔者也汇总了较为典型的汽车网络数据安全事件及其处置、其他行业网络数据安全事件及其处置,供各位理清不同地区、不同企业对于网络数据安全事件的应急处置情况。
三、智能网联汽车网络数据安全事件应急演练
智能网联汽车厂商作为数据处理者,不仅应制定网络数据安全事件应急预案,还应根据应急预案要求开展应急演练。应急演练可以测试应急预案流程的合理性、检验应急预案的有效性、培养企业应急意识及队伍。
四、智能网联汽车网络数据安全事件的应对建议
综上,我们认为智能网联汽车厂商对于网络数据安全事件,有以下事前、事中、事后的应对建议: