數據勒索頻繁發生 智能網聯汽車如何設置“安全鎖”?
本報記者 陳燕南 北京報道
“汽車中的攝像頭採集的人臉信息會不會被濫用?黑客會不會在高速公路行駛途中剎車、遙控方向盤或以解鎖車門爲交換條件進行勒索?”近日,《中國經營報》記者發現,隨着智能網聯汽車的發展,不少消費者對數據安全產生了疑惑和擔憂。
根據中研普華產業研究院發佈的《2024—2029年中國智能網聯汽車行業深度調研及投資機會分析報告》,預計到2025年,中國智能網聯汽車產量將達到2.59億輛,在汽車保有量中的佔比約75.6%。
“隨着智能網聯汽車的發展和應用,數據成爲邊雲協同計算的關鍵要素,但汽車數據安全風險也在增加。”國家工業信息安全發展研究中心數據安全所技術研究部副主任柳彩雲在第四屆瀋陽智能網聯汽車大會上表示。
柳彩雲表示:“近年來,汽車數據安全的攻擊路徑逐漸變多,最近我們監測工業領域數據安全風險情況,發現一個特點,汽車在數據泄露上屬於比較突出的行業,汽車領域中針對車企數據的勒索、數據的泄露、數據暗網交易的風險和事件頻繁發生。”
數據泄露風險逐年攀升
有數據顯示,一輛智能網聯汽車每天至少收集10TB的數據,不僅數量極大,而且涉及駕乘人員的出行軌跡、習慣、語音、視頻等關鍵信息,一旦遭受侵害會泄露個人隱私。除此之外,智能網聯汽車的產業鏈也在不斷延展,相關產業鏈涉及的數據將更加龐大。
“2023年上半年汽車領域的網絡趨勢報告提到,汽車行業的數據泄露事件佔汽車安全事件總數的37%,數據泄露的風險也在逐年攀升。”柳彩雲表示。
柳彩雲介紹,據工業和信息化領域數據安全風險信息報送共享平臺統計,2023年汽車行業的數據安全風險達到281起。“這裡面只是風險,並不一定是真正釀成實際的數據泄露或者是數據交易的事件。比2022年整體上升了251%。”她說道。
中國汽研北京院數據安全技術主任宋希在大會上則表示,目前在“車路雲一體化”發展的過程當中,我國汽車行業面臨的風險不僅是車機端可能發生的攻擊,同時路側的設備,以及在進行V2X通信方式的模式之下,都有可能成爲下一個攻擊的途徑或者是要點。
“在路側設備和傳輸通道都有可能會遭受劫持,從而獲取我們的重要數據。對於未來的技術以及安全駕駛會造成非常嚴重的影響。”她說道。
宋希認爲,對於汽車行業,大家都有意願進行共享、使用數據,但可能基於現在一些數據具體保護方面的能力或者是技術方面的限制,許多企業其實對這方面還是有一定的顧慮,這也是影響汽車行業數據方面沒能實現共享的因素之一。
“制定數據分類分級標準並完成合規備案”
智能化是汽車產業發展的重要趨勢,而數據則是實現智能化的基石。隨着汽車智能化程度越來越高,守好數據確保安全,關乎到用戶的權益,更關乎行業發展進程。而汽車企業作爲數據運營的主體,是數據安全的主體責任。
記者注意到,2024年2月26日,工業和信息化部印發《工業領域數據安全能力提升實施方案(2024—2026年)》,提出了具體的目標:到2026年年底,工業領域數據安全保障體系基本建立。
8月1日,爲進一步加強搭載組合駕駛輔助系統的智能網聯汽車准入、召回和車輛軟件在線升級管理,工業和信息化部裝備工業一司聯合市場監管總局質量發展局組織編制了《關於進一步加強智能網聯汽車准入、召回及軟件在線升級管理的通知(徵求意見稿)》,向社會公開徵求意見。
其中提到,健全安全保障能力。企業生產搭載組合駕駛輔助系統的智能網聯汽車產品的,制定相應的安全管理制度,明確安全責任部門和負責人,健全流程、方法、工具等設計驗證能力,完善數據安全保障、網絡安全保障、OTA升級管理、功能安全保障、預期功能安全保障等能力,保障在產品開發、生產、運行等階段進行有效的安全管理,健全企業產品技術標準和質量安全體系,持續保障產品質量安全。
中國信息通信研究院技術與標準研究所車聯網部副主任於潤東則給出了具體建議:“除最基礎的身份驗證外,還需要進行互信,包括不同車企、不同城市以及工信和公安跨部門體系的互信等。此外,我們還需在基礎設施網絡安全防護、數據合規處理(進行互信),無論是車輛採集數據還是路端採集數據,都需要滿足網信、地信、個人信息保護以及各個管理部門之間的要求。”
柳彩雲則建議,應建立數據安全管理制度體系。一般從管理制度來說分成四層,一是戰略,二是管理具體的辦法,三是標準指南,四是操作表單。針對不同級別的數據提出相應強度安全防護的要求。同時,她還建議,應建設數據安全的防護技術手段以及建設數據安全監測預警手段、開展數據安全風險評估以及針對不同的業務部門,以及管理層來開展數據安全的教育培訓。
她表示,車企應重點做好幾項關鍵任務:制定數據分類分級標準並完成合規備案;提供數據安全意識培訓;建立覆蓋數據全生命週期的安全管理制度;實施數據加密、操作審計、監測預警等技術措施;建立常態化的數據安全監測和預警體系;定期進行數據安全風險評估,確保合規。
宋希則建議,比如說車端一些涉及個人信息,可以有一個告知同意的過程。“針對敏感個人信息要進行單獨的同意,另外,我們要分類型進行一些同意的操作。我們也建議企業開展風險評估方面的工作。”
(編輯:張碩 審覈:童海華 校對:顏京寧)