非法收集?隱私泄露?監視?當心汽車信息安全風險!

陣子,一紙通知在網絡上快速流傳。通知大意爲由於特斯拉的車載元器件,出於保密原因,禁止特斯拉駛入和停放。隨後,馬斯克做出了迴應。“我們有非常強烈的動機對所有信息嚴格保密”,在中國發展高層論壇的線上討論中他表示,“如果特斯拉使用汽車在中國或其它地方搞監視,那麼我們會被關閉。”

當然能否遵守自己的承諾,馬斯克說了並不算。隨着智能網聯、自動駕駛技術的快速發展,汽車上需要部署更多傳感器駕乘人員進行識別和檢測,在車內也有越來越多的攝像頭來獲取駕乘人員的狀態信息。對此,很多業內專家認爲,特斯拉遭到的質疑是以自動駕駛爲代表的人工智能技術發展時面臨的安全困境。而對廣大的消費者來說,他們的擔憂更多來源於自己在使用汽車產品時,是否會泄露隱私,以及在使用過程中被收集的數據被不當利用。

比如下面這幾位:

信息安全風波中心

通過攝像頭和傳感器來收集數據,並通過數據來分析深度學習來提升車輛性能表現,已經是智能網聯汽車時代各車企的普遍做法了,這也讓信息安全成爲了多方關注的風波中心。而對於信息安全的擔憂,不光來自於消費者,作爲製造方,汽車企業對於車輛信息安全的保護需求更強。

即便如上述風波中心的特斯拉,這種在智能網聯化走在世界前列的企業,也在信息安全領域多次“馬失前蹄”。據外媒報道,一羣黑客侵入了15萬檯安全攝像頭的實時反饋數據,這些數據來源於硅谷的一家安保公司,特斯拉在國內某地倉庫的畫面被曝光;而黑客團體還掌握了特斯拉分佈在全球的222個工廠及倉庫的攝像頭訪問權限。隨後特斯拉回應已經停止攝像頭聯網

這些年來,類似的汽車智能網聯信息安全事件也發生過不少:

信息安全,連車企都可能一不小心就中招,更別提普通消費者了。最近也有案例可尋。3月16日,就在“中央電視臺2021年3·15晚會”後一天,工業和信息化部信息通信管理局就針對晚會曝光的四款存在欺騙誤導用戶下載、違規處理個人信息問題的APP組織開展技術檢測,並對涉事企業主體進行調查處理。

信息安全問題,上次這麼大規模有存在感還是在計算機病毒橫行的時代。然而,隨着業態的不斷進化,信息安全問題,換了一副“面孔”,重新出現在了公衆面前。如果說APP暴露出的是在信息通信領域的問題,那麼這些情況,很有可能在幾年內在汽車領域大量上演,同時危害性卻更大。這是和汽車行業向智能化、網聯化、電動化高速發展的趨勢密不可分的。如果汽車真的延展成爲大號信息處理終端,那麼汽車駕乘人員的隱私是否會被違規收集,是否會被違法交易?如何保障車企收集的車主信息僅處於合理、必要的最低程度?

汽車信息安全風險有哪些?

首先,我們梳理下,站在智能網聯角度汽車產品將有可能遭遇哪些信息安全的問題。

車載零部件風險成爲汽車產品最爲基礎性的問題。例如車載的信息娛樂系統(控制器層級),由於其接口衆多,極容易遭到黑客攻擊;車載T-BOX,由於監控着車輛實時的狀態,深度讀取數據,也成爲黑客重點關照的對象;車載操作系統,無論是Linux、QNX還是安卓,都存在一定安全漏洞,同樣存在被入侵的可能性

其次,通信環境也存在不小的安全風險。車載Wi-Fi、車載藍牙近場通訊手段以及車聯網終端的上一級數據中心的遠程通信,都存在一定的被入侵可能性。

整車電子電氣架構方面同樣不能輕視。EE架構的進化還處在一個動態變化的過程中,架構內網絡的安全性,架構內各控制器在與外界進行數據交換時的安全性,甚至整車產品在通過OTA方式進行升級時的安全性,都是值得關注的問題。

與汽車產品本身的信息安全問題同樣重要的,還有汽車使用過程(車主及乘車人)產生的數據收集與使用。

例如車內攝像頭對駕乘者生物特徵的收集、車輛行駛軌跡的收集與分享、車內司乘人員對話交流的信息內容是否被收集,更有甚者,車輛所裝配的激光雷達高清攝像頭等高精度感知器件,對於道路信息的收集、上傳、分析與使用等問題,構成了智能網聯時代下,與汽車生產、製造、使用息息相關的信息安全新課題。

加快立法規範迫在眉睫

從設計角度來看,汽車產品面臨的新問題可能由什麼造成呢?傳統的汽車產品,對於功能安全的理解相對較爲具象。大部分傳統安全都聚焦於產品本身安全和駕乘人員、其他交通參與者安全。例如德國汽車工業協會(VDA)就偏重於車輛可控性角度對功能安全提出了要求。

而在智能化的背景下,傳統的分佈式EE架構逐漸式微,原本分散於車內各角落、零部件當中的ECU逐漸地被域控制器所替代,而原本車內CAN總線也被速率更高的車載以太網等技術所替代。汽車產品本身的架構發生了重大變化。其次,網聯化的不斷髮展,萬物互聯成爲對未來環境的一個非常普及、帶有共識性的想象。汽車產品不再是一個“單機”產品,而是不斷地與(其他)車、路側設備、雲控平臺等發生着數據交換,車內網、車際網、車載移動互聯網三網融合的發展趨勢正在成爲現實,網聯化同樣給包括車輛在內的網絡各節點的安全提出挑戰。

目前,業內公認的對於汽車(乘用車)功能安全的標準當屬ISO26262,它提供了評估汽車產品風險等級的具體方法(ASILs);能夠通過這種方法來確定可接受的參與風險的必要安全要求;同時還提供了確保獲得安全等級的有效性和確定性措施。我國則在2020年5月份將《信息安全 汽車電子系統網絡安全指南》(GB/T 38628)作爲推薦標準發佈。

然而,在快速迭代式進化的智能網聯環境中,標準雖然在不斷地進化,但卻依然難以掩蓋其滯後性特點。對此,業內也有不少專家呼籲,面對技術發展,政府需要對暴露出的問題進行立法,加強規範。同時行業需要確定各類標準,界定和保護用戶隱私,確保人工智能技術不被濫用和誤用。