FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序把安全装进口袋
尽管当前智能网联汽车的安全漏洞尚未被广泛利用,但是据统计,约56%的消费者表示信息安全和隐私保护将成为他们未来购买车辆时主要考虑因素。
为了更好地应对智能网联汽车所面临的网络安全威胁,我国在《网络安全法》《数据安全法》等上位法的基础上,陆续出台了多个智能网联汽车网络安全政策、法律和法规以及行业标准,以期加快建设智能网联汽车网络安全保障体系,进一步促进智能网联汽车产业可持续发展。
例如在2022年3月7日,工业和信息化部发布《车联网网络安全和数据安全标准体系建设指南》(以下简称《指南》),提出到2023年底,初步构建起车联网网络安全和数据安全标准体系;到2025年,形成较为完善的车联网网络安全和数据安全标准体系。
为了让读者更方便地了解智能网联汽车领域政策、法律法规,行业标准,笔者对此进行盘点与总结,希望能够给读者带来帮助和启发,起到”抛砖引玉“的效果。若有不足之处,敬请指出。
法规体系是一个行业发展的基础,是否完善决定了该行业未来的发展空间。近年来,我国依据智能汽车产业发展的现状和趋势,陆续出台了多部法规,对于行业规范化发展有着极为重要的作用。总的来说,智能汽车法规体系主要集中在“网络安全”和“数据安全”两大方面。
2021年7月,工业和信息化部在发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》中明确提出,企业必须建立内部自查机制,及时发现生产、销售的汽车产品中是否存在安全漏洞,以免带来数据泄露、网络安全、驾驶辅助和自动驾驶安全等严重问题。
此外,工信部组织推出《车联网(智能网联汽车)网络安全标准体系建设指南》并面向社会公开征求意见。
值得注意的是,国家出台的《智能汽车创新发展战略》(以下简称《战略》)中,已经明确提出智能汽车网络安全体系建设是重中之重。
《战略》中明确指出在智能化汽车发展时,必须搭建软硬件结合的安全防护体系,加强车机系统,车载芯片、操作系统、应用软件等安全可靠性设计,开展车载信息系统、服务平台及关键电子零部件安全检测,强化远程软件更新、监控服务等安全管理,实施统一身份权限认证管理。
现阶段的汽车日渐智能化,车辆自身已经形成了一个完整网络结构,接口设备、中央网关、域控制器等互联互通,汽车再操作过程中访问点多、结构复杂、代码量大,导致智能汽车的网络安全防护难度越来越大。
汽车生产制造时,即便软件开发人员打起”十二分精力“,但车载智能平台动辄过亿级别的代码量,安全漏洞依旧会成为“漏网之鱼”。
此外,部分汽车厂商将主要精力投放到外观设计以及乘驾舒适上,对于网络安全并没有那么在意。
《智能汽车创新发展战略》、《车联网(智能网联汽车)网络安全标准体系建设指南》和《关于加强智能网联汽车生产企业及产品准入管理的意见》等法律标准的颁布为汽车企业如何保证汽车产品安全提供了指导性意见。
除了网络安全方面,数据安全同样是汽车产业必须解决的问题。在工信部发布的《车联网安全标准体系建设指南》中,对数据做出了明确规范。数据安全标准主要规范智能网联汽车、车联网互通平台、车载应用程序等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准,其中后三类尤其值得重视。
一旦有企业或个人利用这些敏感数据,便可以轻松描绘出详细用户画像,用户的工作地址、居住场所等隐私便被公之于众。
更有甚者,大量用户个人隐私数据及国内高精度地图数据若是通过非法手段跨境传播,国家安全也势必受到严重威胁。滴滴事件已经早已证明汽车运营产生的信息安全问题不可忽视。
紧接着滴滴遭受安全审查,国家互联网信息办公室会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、交通运输部同意,《汽车数据安全管理若干规定》颁布,并将于2022年10月1日开始实行。
《规定》总共有21条,其中第三条对敏感的个人信息(是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。)和重要数据(指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据)做了明确规范,
敏感数据主要包括以下几类:
(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
(二)车辆流量、物流等反映经济运行情况的数据;
(三)汽车充电网的运行数据;
(四)包含人脸信息、车牌信息等的车外视频、图像数据;
(五)涉及个人信息主体超过10万人的个人信息;
(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
2021年1月,全国信息安全标准化技术委员会发布《信息安全技术汽车采集数据的安全要求》(征求意见稿)(以下简称《安全要求》)。
《安全要求》共计8节15条,规定了对汽车采集数据进行传输、存储和出境等处理活动的安全要求,既为汽车制造商保障汽车数据处理活动安全提供了指引,也为主管监管部门、第三方评估机构等对机车采集数据处理活动的监督、管理和评估提供了参考。
近些年,网约车出现的数据泄露问题屡见不鲜,网约车行业的规范标准也逐渐完善。《信息安全技术网络预约汽车服务数据安全要求》标准适用于提供网络预约汽车服务的网络运营者加强数据安全保护,也适用于主管监管部门、第三方评估机构对网络预约汽车服务数据活动进行监督、管理、评估时参考。
主要内容包括:
界定网络预约汽车服务数据收集范围、研究网络预约汽车服务典型场景的告知同意安全实践、研究网络预约汽车服务数据使用共享与披露安全实践、研究网络预约汽车服务中收集的行程音视频数据的安全保护实践。
《信息安全技术网络预约汽车服务数据安全要求》旨在网络预约汽车服务行业落实国家数据安全、个人信息保护等要求,坚持标准制定与实践应用紧密结合的原则,研究网络预约汽车服务行业的数据安全保护实践指南,对平衡用户行程安全与个人信息权利保障有重要意义。
上文中,笔者陈述了汽车行业的法律法规以及处置办法,如果说法律法规的硬性规定给汽车行业安全构筑了一道坚实围墙,那么规范标准则为汽车安全提出了指导意见。
汽车数据安全标准用于确保智能网联汽车数据处于有效保护和合法利用的状态并具备保障持续安全状态的能力,对重要数据和个人信息提出明确的安全保护要求,主要包括数据通用要求、数据安全要求、数据安全管理体系规范、数据安全共享模型和架构等标准。
除此之外,以下《信息安全技术汽车电子系统网络安全指南》也对于产业发展有重要的指导作用。
汽车行业正处于变革的关键时期,汽车正在迅速向IT化、智能化迈进。智能化的过程中,汽车涉及到的电子设备必然会逐渐增多,涉及到整车厂、零部件供应商、软件供应商和芯片供应商等各产业链环节。
因此,如何规范汽车车载系统的网络安全、如何从网络安全的角度对汽车软件的开发过程进行指导、约束,对提升汽车电子系统的网络安全防护水平、确保汽车产品符合国家网络安全要求具有重要意义。
《信息安全技术汽车电子系统网络安全指南》的出台车载电子系统网络安全建设提供了指导性意见,适用于目前车联网背景,要求包括汽车电子系统的安全防护要求、网络安全体系参考架构、保障网络安全的指导原则、现有技术与方法,以及汽车电子产品网络安全的生命周期过程框架等方面的内容,为开发具有网络安全要求的汽车电子产品提供统一的规范,为汽车电子的产业链环节提供基于标准的活动指南。
现阶段,从汽车行业趋势来看,国内汽车厂商企图从智能汽车赛道实现弯道超车的“野心”已经愈发明显。随着汽车智能化程度不断提高,对车载系统和车联网技术的要求会“无限”拔高,汽车软件和汽车网络也紧跟着变得愈发复杂,因此想要取得长足发展,必须正视智能汽车车联网的安全性。
无可争议,网络信息安全已经成为智能汽车发展道路上不得不越过的障碍,如何应对愈发复杂车机系统带来的安全漏洞,以及智能信息收集手段带来的安全风险将成为汽车制造商和汽车运营商迫切解决的问题。
鉴于此,汽车制造商不能仅仅追求外观、操纵性、智能化等外在“噱头”,必须将企业资源投入到更加重要的软硬件设备制造上,在汽车行业政策标准的引领下,最大程度的做到合规、安全。
而国家层面出台的汽车行业法律法规给行业带来一定的威慑,从而规范汽车行业的网络安全标准。汽车行业依托《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》这三项“上位法”,车联网安全政策法规不断完善细化,开枝散叶,逐渐形成了车联网安全体系,为车联网产业安全健康发展提供支撑。