車聯網安全面臨三大新挑戰
對於車聯網安全面臨的緊迫形勢,奇安信天工實驗室負責人劉躍在接受記者採訪時表示,車聯網安全目前面臨三方面新挑戰:一是車輛數據安全問題。比如特斯拉汽車等有自動駕駛功能的汽車,具有多種形態的傳感器裝置,而車輛行駛中獲得的道路高精度測繪數據,與國防等領域息息相關,應得到嚴格監管。
二是車聯網安全漏洞問題。“目前汽車智能功能外溢嚴重,而功能越豐富,相應的攻擊面越多。”劉躍說:“比如汽車數字鑰匙,區別傳統射頻信號的車鑰匙,具有手機App、NFC卡多種形式,提供如遠程預熱、關閉車窗等控車體驗,但是近三年特斯拉汽車的重大安全漏洞,就有四起與汽車數字鑰匙相關。”
三是新技術應用安全建設滯後。劉躍舉例稱,近年來V2X作爲車聯網新興技術應用廣泛,但V2X相應的安全防護能力相對單薄,研究發現,攻擊者可輕鬆僞造紅綠燈交通信息,控制無人駕駛車輛違背交通信號行駛,影響駕駛安全。
中國信息通信研究院泰爾終端實驗室信息安全部副主任國煒告訴記者,通過泰爾終端實驗室測試發現,目前大部分車型在信息安全防護方面水平偏低,車內相關聯網部件及控制部件防護可靠性不高,且缺失一定的安全策略,這會導致車內敏感信息的泄露或被篡改、車輛行駛中的異常行爲,還有可能危及人的生命安全。
國家工業信息安全發展研究中心副總工程師兼信息政策所所長黃鵬表示,車企雖然越來越重視數據安全問題,但是實際落地案例較少,“很多企業都是在邊界遊走,探索的成本非常高。”
“智能網聯汽車直接關乎百姓的生命安全、國家的社會治安,它的安全性比移動互聯網更重要。”國煒表示,法律法規明確在中華人民共和國境內收集和產生的個人信息和重要數據應當依法在境內存儲,但現在仍存在一些國際企業在國內開展業務的同時將個人信息和數據向國外服務器傳送的現象。
“關於跨境數據安全這部分,除了被廣泛提到的特斯拉,我們也做了很多測試,事實證明國產合資品牌的某些車輛也存在跨境數據安全問題,有些數據確實是傳到了國外。”中國汽車工程研究院車聯網信息安全專家鄭光偉告訴記者:“目前保障數據安全是一個相對短板,尤其是個人隱私安全、跨境數據安全管理部分,在主機廠層面其實是非常薄弱的。這也是我們領域內關注的一個熱點。”
“車輛行駛、道路測繪等數據的不可控,甚至會影響到國家安全。”劉躍表示,汽車智能化、網聯化的發展未來勢不可當,但未來車聯網的安全體系起碼要實現以下兩個目標:一是從個人角度考慮,不會因爲顧慮網絡安全問題,導致不敢乘坐智能汽車,包括無人駕駛汽車等;二是從國家層面考慮,不會因爲汽車所使用的傳感器裝置,而不允許車輛出入重要場所或軍事要地。
國煒認爲,在數據出境安全評估過程中,要充分考慮數據出境合法性、正當性、必要性,且從發送方數據出境的技術管理能力、數據接收方的安全保護能力及措施以及數據接收方所在國家或區域的政治法律環境充分評估涉及的個人信息以及重要數據的安全風險等級。
提升車聯網的網絡安全防護能力還需要政策層面的哪些支持?專家認爲,在監管角度,應建立安全監管責任體系,並將安全責任落實到上線前、運營使用中和事後等生命週期的各個環節,預計未來三年將是國內相關的監管與法規的集中發佈期。
此外,有業內人士提出,政策層面應該推動建立健全合理的漏洞發現、處置與管理機制。“因爲車企漏洞管理機制不完善,很容易導致公司法務介入,很多‘白帽子’怕惹事上身,即使發現漏洞往往不敢報送,而且也不知道向誰報送。”劉躍表示,汽車產業結構複雜,往往涉及企業內部多個部門,甚至上游產業鏈,所以安全問題的責任劃分需要明確。此外,可以把傳統領域已經應用實踐效果較好的安全監測預警、應急響應機制,移植到車聯網領域中,並且結合車聯網環境的特點,更有針對性地做好安全防護與監測。
360政企安全集團車聯網安全研究院院長嚴敏睿也對記者表示,當前急需由相關部委牽頭,建立具備評價方法的安全檢測和監測機制。“網絡安全本質就是攻防的對抗,如果車聯網所使用的安全機制沒有對應的評價方法,將會使得行業內各個企業在落地車聯網安全機制時缺乏基本依據和規範,導致落地後的機制無法抵抗來自黑客的攻擊。”
在車企層面,黃鵬建議從兩個角度提升數據安全方面的能力:一是提升核心基礎技術的安全可控能力,即涉及車輛本質上的安全;二是提升數據安全綜合防護能力,利用新一代的信息技術,包括區塊鏈技術、流量檢測技術、國密技術等,提升綜合防護的能力。
嚴敏睿認爲,車企可以參考國內外相關標準,形成自身的安全防護體系,將汽車信息安全從原本對單點的關注進化到整套體系。“汽車相關的產業鏈應從產品設計之前,就將對於網絡安全的考慮納入產品需求中,並在產品的全生命週期里加入對產品的安全設計、安全研發、安全測試、安全運營。”