車企上雲,資料的合規使用和安全防範将是重中之重!
嚴格意義上來說,汽車數字化的基礎是各種資料內建,資料內建所被表現出來的,則是軟體的大量應用。
而車内的車機系統、智能駕駛座艙、自動駕駛功能等,都是汽車數字化的具體呈現,同時也是車内最容易出現網絡安全漏洞的部分。
一旦這些部分出現網絡安全問題,将會對使用者造成比較嚴重的影響。
如目前使用者可通過手機 APP 的藍牙功能實作遠端控車,如果 APP 設計或者接口不嚴謹,就有可能出現黑客批量控制使用者 APP 的情況,攻擊者就可以随意開走任何車輛。
相比智能手機,汽車資料網絡安全問題所能夠給人帶來的威脅以及損失更大,這也注定車企需要花費更多的精力來投入到車上資料網絡安全的建設。
本期沙龍邀請了上海帆一尚行科技有限公司網絡安全總監、上汽騰訊網絡安全實驗室聯合負責人陳甯,以及騰訊安全政策發展中心總經理呂一平。
此次沙龍主要圍繞資料安全和風險防禦問題,共同探讨了車企在系列新規背景下,将會采用怎樣的新手段、新模式來保證資料的合理開發利用,并有效防範潛在網絡安全風險。
01
3 類資料,5 方面舉措
車企需合規使用資料
在智能網聯汽車發展早期階段,資料的收集和應用,并沒有明确的相關法律法規進行規定,相比于被強制監管數十年的金融領域,汽車資料安全防護還是「新兵」。
去年 8 月,國家網際網路資訊辦公室、國家發展和改革委員會、工業和資訊化部、公安部、交通運輸部聯合釋出《汽車資料安全管理若幹規定(試行)》,自 2021 年 10 月 1 日開始實施。
與汽車資料安全法前後釋出的法規,還有《個人資訊保護法》《資料安全法》等,多項關于資料的法規密集釋出,以及當時被制裁的某個海外車企,都讓車企們意識到,資料合法合規使用,是必然趨勢。
畢竟,智能汽車每天收集到的資料非常龐大,除駕駛員的個人資訊資料之外,更重要的一點是,智能網聯汽車的傳感器能夠實時收集到高精度地圖資料,這涉及到很多敏感的地理位置資訊。
是以,車企想要合法合規的使用資料,首先需要對這些資料進行分類。
對此,呂一平認為汽車行業主要有 3 大類資料比較重要:
汽車研發過程中車輛狀态的相關資料,這一類資料一直被車企所收集,并留作自用。
與使用者相關的隐私資料。目前國家有明确的法律法規要求車企對這類資料進行保護,并針對不同的使用場景,對資料要進行明确的分類分級,并依據法規使用使用者隐私相關資料。
敏感資料的使用,比如傳感器收集到的地理位置資料、高精度地圖資料,這一塊主要涉及到國家安全部分,是車企需要非常關注的點。
資料分類分級之後,則是資料的合規使用問題。
對此,陳甯根據目前的相關法規,總結了 5 方面舉措:
在使用資料前,車企的相關車輛應用服務必須要通過等保測評,并建立起相關的網絡安全或資料安全的配套防護措施和防範的管理體系。
目前法規明确要求,預設車企不得收集使用者上車資料,如果需要收集,則必須告知使用者,以及需要收集的資料資訊。
在收集資料狀态中,讓使用者知道正在收集其資料,如果有些資訊使用者不希望被收集,則需要允許使用者進行屏蔽。
車企要盡量将車内敏感資料模糊化處理,防止通過資料清晰定義使用者的情況出現。
在資料流通和共享上,按照資料安全法和汽車資料安全法相關規定,車企每年 12 月份要上報資料安全報告。同時,汽車在向海外發展的過程中,如果資料要向境外輸出,則需要經過相關評審。
建立資料的分級分類,并合法合規的使用,僅僅是建立資料安全防護的基礎。
在分級分類防護資料之後,更為重要的是,車企要建立針對網絡安全問題的應對和響應機制,以及相對應的處理技術能力。
此前,傳統的汽車産業中,如果汽車出現了某些安全問題,車企一般都會通過召回的方式解決這些問題,但召回的周期很長,很難适應網絡安全問題的節奏變化。
陳甯表示:「如果車企能夠建立起針對網絡安全問題的 48 小時之内的安全更新檔或修複能力,這将是未來車企很大的競争力。」
02
加大研發投入
車企要加速建立網絡安全防護體系
不過,現階段車企針對汽車資料網絡安全防護仍處于探索初期,其想要逐漸建構自己的安全防護網絡體系,将是一個相當漫長的過程。
一方面,資料安全僅僅是車企網絡安全建設中一部分内容,想要做好資料安全,車企還要打好很多地基工作。
如雲上安全,技術架構安全等,還包括很多相關網絡安全建設,如雲上的邊界防護、安全監測、網絡安全的漏洞或者網絡安全響應的能力等。
另一方面,人才問題也是影響汽車網絡安全建設程序的一個重要因素。
陳甯表示,在網絡安全領域,中國高校每年輸送的畢業生大概是 10 萬人左右,但自去年開始,出現非常大的缺口,未來的趨勢也是缺口逐漸變大,相對應的,涉及到汽車網絡安全的人才缺口,将會更大。
雖然汽車資料網絡安全建設是一個長周期的持續投入,但在目前各項法規要求的倒逼下,車企也應該逐漸加快自身在網絡安全防護體系的建設。
從車企本身汽車網絡安全建設程序來說,陳甯以上汽為例,闡述了上汽的汽車産品從研發,到生産,再到傳遞以及傳遞之後的相關防禦措施。
在汽車投産之前,對于産品的零件或者整車,會在技術和流程上,從安全設計、滲透測試、投産營運等方面做一系列的測試研發。
針對車内安全網絡防護,上汽現階段所建立的防禦體系主要是從雲管邊端逐層防護,同時,傳統雲驅動安全内容也适用于當下。
通道方面,則主要是從雲端到車端的通訊鍊路,用加密方法進行加密,確定上汽的鍊路不會被截斷或者被中間人截取掉。
同時,上汽也對車與車之間進行傳輸的資訊給予加密保護,保證資料的安全性和唯一性。
在車輛傳遞之後,上汽也會建立相關的防禦措施,比如網關或者 IDPS 等,通過它将車輛相關的子產品或者相關的服務隔開,確定車輛在行駛過程中關鍵通信和關鍵指令不會被人惡意篡改掉。
除了車企本身的自我網絡安全防護體系建設外,車企也會尋求外部網絡安全公司的合作。
其中,騰訊一直是将自己定位為汽車行業助手的角色,助力汽車行業在安全方面形成自身的能力。
騰訊在與車企的合作過程中,主要為車企提供 4 方面的能力,幫助車企建構資料網絡安全:
騰訊雲助力車企雲上安全,幫助車企在雲服務端建構安全防護體系,形成有效的安全防護能力。
針對車端存在的 security 和 safety 風險問題,騰訊具備研發和測試等合規的品牌和工具,助力車企在這方面的能力建設。
在數字化營銷場景下可能存在的「黑産」問題,騰訊可以提供相對應的解決方案,保證車企在營銷過程中更好的觸達使用者,大大降低「黑産」薅羊毛的機率。
騰訊能夠通過自身能力幫助車企對資料進行分類分級,界定清楚各類資料的重要性,并在此基礎上助力車企建構資料安全保護方案。
在實際的合作案例中,此前騰訊已經與上汽組建了聯合實驗室,上汽在設計了相關防禦測試後,需要建立自己的驗證和測試體系。
而騰訊則參與到了上汽部分車輛中智能座艙的設計和規劃工作,在設計和研發早期,基于安全防護方面的能力,助力上汽産品的研發。
前文也有所言,在數字化網絡安全防護方面,汽車行業還是「新兵」,車企雖然逐漸在加強對這方面的重視,但目前仍是處于早期投入階段。
騰訊安全政策發展中心總經理呂一平
呂一平表示,在金融行業,一般在網絡安全方面的研發投入可能是在 6%-8% 之間,而目前汽車行業的投入則普遍在 2% 左右。
事實上,從法規密集釋出情況來看,網絡安全給汽車行業做響應時間并不多了。
如果車企不能夠加快節奏,逐漸提高在該領域的研發投入,極有可能面臨着極大的風險,一旦出現大規模的網絡安全事件,則将是對整個行業的重大打擊。
「汽車之心 · 行家說」預告
3 月 10 日周四晚上 20:00-21:00, 易咖智車 CTO 柏俊波将做客汽車之心 · 行家說,聊聊「大熱的滑闆地盤會以什麼節奏落地?」。