原标题:汽车快速迈入网联时代数字安全难题待考
车联网作为新一代网络通信技术,与汽车、电子、道路交通运输等领域深度融合的新兴产业业态,已成为推动汽车制造业高质量发展的重要动力引擎,也是我国新型工业化道路的重要途径之一。
随着汽车网联化、智能化、电动化和共享化快速协同发展,车联网实现人、车、路、云、网图数据交互和高效协同。与此同时,网络安全威胁加速向车联网延伸渗透,网络攻击面急剧增加,攻击对象泛化延展,攻击路径跨域复合,车联网面临的安全风险挑战也在不断增加。
中国工程院院士、清华大学教授李克强在此前曾公开表示,当前汽车信息安全危险问题日益严重,2022年上半年针对车联网平台的网络恶意行为已经超过100万次。
“做好车联网安全防护工作对推动车联网产业有序健康发展、建设制造强国具有十分重要的意义。”工业和信息化部网络安全管理局网络安全管理处处长袁春阳在近日举办的西湖论剑车联网安全论坛上表示。
数据过度采集
“在汽车‘新四化’发展里面,全球车辆电动化趋势已然形成了。”上海市新能源汽车公共数据采集与监测研究中心副主任兼技术总监王成名在论坛上表示,他披露的数据显示,截止到2023年2月份,中国电动汽车的销量已经达到了1400万辆,其中上海市接近100万辆,渗透率为20.2%,“渗透率在不断提升。”
除此之外,人工智能、大数据、云计算、物联网等多种前沿创新技术发展迅速,智能网联汽车在近两年飞速发展,也必然地成为了时代的选择,主要汽车强国都将智能网联汽车列入数据经济时期下重要发展策略,车联网是新一代网络通信技术与汽车电子道路交通运输等领域深度融合的新兴产业形态,也成为了由单车智能迈向网联自动驾驶时代的重要基础设施。
在这条路上,我国走在行业前列。目前,全国的5G基站已经达到231万个,为车联网发展提供了优质的通信基础设施。我国车辆装载车联网卡数量超8500万张,具备联网功能的新车渗透率达到58%,具备组合驾驶辅助功能L2级的乘用车渗透率达到33.6%。
当前,车联网正处于技术创新、产业升级的快速发展期。新技术、新模式、新形态不断涌现,日益成为推动我国汽车产业把握网联化、智能化变革,培育新的增长点,构筑国际竞争优势的重要引擎。
然而,随着智能网联汽车逐步发展成为计算中心和数据中心,软件和数据的价值相较传统汽车来说得到了极大提升,由此也带来了一个最核心的挑战:信息与数据安全。
中国信息通信研究院副院长魏亮表示,车、路、云、网形成交织渗透的网状生态,网络攻击渗透蔓延,车载设备系统、服务平台、通信设施等攻击暴露面扩大,威胁入口增加,路径跨域复杂,网络攻击呈现高发态势。“我们监测发现,近一年来针对车联网企业的网络攻击达627万次。”
杭州安恒车联网安全技术有限公司副总裁蒋洪琳表示,频发的安全事件已经严重影响到一些OEM品牌形象,并造成经济损失。数据显示,目前智能网联汽车遭受到远程攻击的数量远远超过物理攻击的数量,基本达到80%以上。
细分来看,数据过度采集是一个显著问题。滥用和违规跨境挑战加剧,汽车驾驶功能升级,智能交通等驱动数据交互需求暴增,用户信息、道路信息、车辆数据等分析采集的边缘化、快捷化、自动化,车联网数据泄露和滥用风险突出。
此外,自动驾驶技术发展则会带来新的安全挑战。伴随着车辆向高级别自动驾驶全速挺进,自动驾驶安全事件不断敲响安全警钟,雷达、摄像头等感知数据被篡改或丢失,将干扰自动驾驶决策,引发安全事故。
“车联网网络安全、数据安全与汽车功能安全、行驶安全等风险交织叠加,关乎出行安全和人身安全,安全形势严峻复杂,安全保障任务紧迫。”魏亮表示。
行业标准有待完善
“我们最大的挑战还是没有很正式或者是相对标准的一些国家法律法规出台,显得整个网联车数据管理有一点复杂。”蒋洪琳在接受21世纪经济报道记者采访时表示。
面对日趋复杂的态势,健全车联网数据安全和网络安全保障体系需尽快提上日程,以支撑车联网产业安全健康发展。
国际上已有动作。2020年6月,联合国世界车辆法规协调论坛正式颁布《信息安全与信息安全管理系统》(R155),这是全球第一个汽车信息安全强制法规,要求汽车制造商在产品全生命周期的各个阶段具备有效发现和控制网络安全风险的能力,并明确提出建立网络安全管理系统合格证书优先于产品类型认证设置条件。
针对R155体系层面的认证,第一批中国出海的车企正在积极响应中,其中部分车企已率先获得R155体系认证。
国内来看,工信部发布的《车联网网络安全和数据安全标准体系建设指南》指出,预计2023年底初步构建车联网网络安全和数据安全标准体系;到2025年,形成较为完善的车联网网络安全和数据安全标准体系。指南的发布,将对加快建立健全车联网网络安全和数据安全保障体系起到积极作用。
数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等五类标准。
“大部分安全厂家或者一些车主客户会碰到这样的困惑,他不知道哪些数据是重要数据,哪些是核心数据,哪些数据应该做一些管控和加密,比如人脸识别的信息、车子很多摄像头拍到的建筑物、车牌等信息是不是需要打马赛克上传。”蒋洪琳表示。
5月5日,工信部公开征求《汽车整车信息安全技术要求》《智能网联汽车自动驾驶数据记录系统》等四项强制性国家标准的意见。
值得注意的是,该文件还提出车辆不得直接通过车辆自身的数据出境功能或接口向境外传输数据,以避免大批车辆避开管理部门的监管向境外直传数据。
FTI市场调查数据显示,每辆智能网联汽车每天产生的数据大约从4TB到10TB或者20TB不等。这些数据类别多、数量大,其中还可能涉及到个人身份信息、精准位置信息、生物识别信息等,一旦跨界传输过程中出现数据泄露等问题,则可能对我国国家安全、企业安全以及个人信息主体权益产生重大影响。
然而,汽车产业又是全球化程度非常高的产业,各个国家之间的数据来往不可避免,蒋洪琳认为,涉及到数据跨境方面,数据分类分级的重要性则更加凸显,不同种类数据对应不同的出境合规要求。