智能網聯車網絡安全如何保障?專家:標準制定仍需加快,應明確供應鏈安全責任邊界
南方財經全媒體記者徐小瓊 廣州報道
隨着汽車智能化、網聯化程度加深,智能網聯汽車面臨的網絡安全風險也愈加複雜。9月10日,智能網聯汽車安全分論壇在2024國家網絡宣傳週期間舉辦,邀請業界專家學者聚焦智能網聯汽車網絡安全風險、安全責任劃分及應對措施等展開了深入探討。專家指出,需以數據分級分類爲抓手構建高效、全面的數據安全應對措施,並針對智能網聯汽車供應鏈條長的特點,明晰供應鏈安全責任界定。
數據安全標準制定仍需加快
智能網聯汽車在革新出行方式的同時,也帶來了網絡和數據安全隱患。中央網信辦網絡數據管理局數據安全監管處副處長王兆興提到,網聯汽車與交通、測繪、通信等領域深度融合,數據安全問題更加凸顯,日益成爲汽車產業和全球關注的重點領域問題。
國家工業信息安全發展研究中心檢查評估所副所長於盟表示,應以重要數據識別、分級分類、監測評估等爲抓手,構建起高效、全面的數據安全應對措施,爲智能網聯汽車的健康發展保駕護航。他指出,應該明確數據安全保護過程中各方的責任邊界,並通過“重要數據識別+風險評估”等手段強化數據安全風險管理,以“技術創新+分級分類管理”的方式構建數據全生命週期安全保障體系。
西安電子科技大學網絡與信息安全學院教授苗銀賓進一步指出,車聯網數據安全涉及多個領域和部門的協同合作,保障車聯網數據安全不僅僅是單一部門的責任,包括車牌製造商、互聯網企業、通信運營商、信息安全廠商等在內的多方力量,需共同參與,推動跨部門、跨行業的協同機制建設,以全面提升車聯網數據安全的防護能力。
近年來,我國智能網聯汽車安全管理體系不斷完善,出臺了工信領域數據安全管理、重要數據識別、風險評估等政策制度與標準體系建設指南。今年8月,智能網聯汽車領域的首批強制性國家標準正式發佈,涉及整車信息安全、軟件升級、數據記錄等方面。
不過,於盟指出,當前的強制標準只是基礎要求,還遠未達到理想水平。多位參會專家也表示,標準制定步伐仍需加快,以標準迭代和升級進一步促進產業安全發展。
供應鏈安全責任需多方共擔
與傳統領域相比,智能網聯汽車領域涉及的製造、生產、銷售等供應鏈環節更加複雜,給智能網聯汽車的網絡安全帶來更多複雜性。然而,目前智能網聯汽車供應鏈網絡安全責任的界定劃分並不清晰。
中國網絡空間安全協會副秘書長樑博認爲,整車廠商應首當其衝承擔智能網聯安全和數據安全的主體責任。爲解決供應鏈安全責任落實的難題,可以通過協會、專委會,探索並推廣一批有價值、可複製的典型案例,爲行業提供借鑑。
來自汽車行業的企業代表觀點不盡相同。上海蔚來汽車有限公司副總裁、首席數字安全官盧龍認爲,雖然整車廠商在供應鏈安全問題上通常被視爲第一責任人,但在實際操作中,如果單純將供應鏈中的所有安全責任歸咎於整車廠商一方並不現實,因爲智能網聯汽車供應鏈鏈條通常較長,整車廠商對此的可控性是相對有限的。
於盟表示,對於用戶來說,整車廠商是第一責任人;但對於整車廠商而言,網絡安全責任邊界從基礎供應商到集成供應商、整車廠商,其供應鏈條延伸非常多,各方安全能力等級需要劃分,供應鏈安全邊界也需要管理。他建議,應以標準研製、試驗驗證和應用實施爲主線,建立健全產業鏈、供應鏈安全防護體系。