數字化、智能化給生活帶來了便捷,也帶來了一些風險。日常生活中,不僅攝像頭、無人機等智能裝置容易被黑客操縱,日益智能的汽車也在成為黑客攻擊的重要對象,智能汽車網絡安全的風險已經日益提高。
據360車聯網安全實驗室統計,國内25家車企的53款在售智能網聯汽車中,360公司共計發現漏洞1600餘個,其中雲端漏洞1000餘個,可導緻攻擊者遠端批量控制該品牌所有的智能網聯汽車;車端漏洞600餘個,可導緻攻擊者近距離非接觸式控制汽車,如開關車門、啟動引擎等。
不久前的全國兩會上,全國政協委員周鴻祎表示,數字化的程度越高,安全挑戰也就越大。
值此315,新聞晨報·周到記者專訪了中國資訊安全技能競賽專家委員會專家、衆安天下負責人楊蔚,請他為智能網聯汽車的網絡安全問題支招。
新聞晨報·周到:您能介紹一下什麼是智能網聯汽車嗎?
楊蔚:智能網聯汽車,英文為Intelligent Connected Vehicle(ICV),參考百度百科對它的定義,是指車聯網與智能車的有機聯合,是搭載先進的車載傳感器、控制器、執行器等裝置,并融合現代通信與網絡技術,實作車與人、路、背景等智能資訊交換共享,實作安全、舒适、節能、高效行駛,并最終可替代人來操作的新一代汽車。
當車輛上的車載裝置通過無線通信技術,對資訊網絡平台中的所有車輛動态資訊進行有效利用,在車輛運作中提供不同的功能服務,我們就稱之為“車聯網”。
新聞晨報·周到:這種車聯網的模式,存在哪些安全風險?
楊蔚:安全風險主要集中在四個方面。第一是車端本身的安全風險。第二是平台安全,比如聯網過程中使用的雲服務。第三是通信安全。第四是資料安全。
新聞晨報·周到:車端的安全風險是怎麼來的?
楊蔚:汽車是由大量軟體和硬體構成的。10多年前,一輛汽車的技術實作需要1000萬行代碼,就目前一輛汽車整體的代碼量來說,至少需要1億行代碼。
如果未來汽車的智能化水準達到L5級,達到完整自動駕駛,完全無需人為幹預,但是其安全性要遠高于人類駕駛員,至少得通過數億行代碼甚至10億行代碼才能實作。如此進階别的自動駕駛汽車,對安全性要求和工程化能力的要求都很高。
然而,有些車輛在設計當中,它的車載網絡或者産品的軟硬體是有漏洞的。使用車載網絡所涉及的一些協定,本身也存在一些漏洞,比如資料沒有做通訊方面的加密,資料通路過程中沒有設定防護措施。
從汽車供應鍊的角度來講,汽車的整車是由大量供應鍊廠商來完成的,不同的部件由不同的公司來研發。每一家公司的安全标準都不一樣,導緻控制車端安全的難度非常大。
新聞晨報·周到:智能網聯汽車的漏洞被黑客利用,會造成什麼後果?平台的安全風險又是怎樣的?
楊蔚:近兩年,車聯網成為國家、社會大衆關注的熱點話題,安全性也行為大衆關注的焦點。一旦智能網聯汽車的漏洞被黑客利用,輕則洩露個人隐私,重則車毀人亡。
車聯網網絡安全風險主要集中在智能汽車車端、車聯網服務平台、通信、資料等方面。車聯網平台提供了大量的雲服務功能,比如汽車的遠端服務、線上更新的平台、車輛排程的平台……服務功能越來越豐富,雲端的引入的安全威脅也與之增長。
從車聯網整個産業鍊來看,有各類服務提供商,車機廠商、通信營運商、車載語音提供商、TSP服務商等等,這類平台都有專業的第三方公司來負責營運并提供解決方案,其中還有部分汽企相關參與的産業投資。
智能化的時代,平台不斷雲化,網絡安全與資料安全如果沒有達到一定的安全标準,會産生更多安全威脅。一旦出現重大漏洞擷取了相關權限,黑客甚至可以遠端對汽車的雲端發起攻擊,可以取得部分控制汽車的權限,影響汽車的駕駛安全。
雖然發起一系列的攻擊門檻相對較高,但是由于一些配套的雲服務功能日益豐富,網絡安全重要性未來更應該成為智能聯網汽車的核心競争力之一。
新聞晨報·周到:通信方面的安全風險是如何導緻的?
楊蔚:車聯網的通信安全風險,源于很多通信協定做得不标準,也缺乏安全的認證和保護措施。現在的智能汽車,新的功能越來越多,比如遠端控制、智能定位、數字鑰匙等等。如果汽車的通信、認證機制不完善,就會導緻很多漏洞,比如僞造數字鑰匙、無線密鑰重放、中間人攻擊、甚至汽車被盜用。
新聞晨報·周到:資料方面的安全風險呢?
楊蔚:資料方面的安全風險主要表現在資料的違規采集上。智能網聯汽車安裝了大量的傳感器,行駛過程中會廣泛采集周圍環境的大量資料資訊,比如環境資料、道路資料。這些資料一旦被非法擷取,車聯網涉及重要或敏感區域,就可能引入跨境安全風險甚至危害國家安全。
還有一些資料資訊,是在未經使用者同意、授權的情況下,違規采集的。這個采集的應用端本身存在安全問題,偷偷擷取了使用者的身份資訊、駕駛資料。在之後的資料存儲和傳輸的環節裡,就有大量安全隐患。
新聞晨報·周到:您對智能網聯汽車的安全有哪些建議?
楊蔚:目前,車聯網這個領域特别火,但汽車行業相對來說是個比較封閉的行業。各家的安全标準不一樣,處理安全問題的方式也不一樣。對于越來越商用化、智能化的智能駕駛而言,資料是最關鍵的一個要素,它對網絡安全的依賴性越越來越強,是以資料安全問題必須得到重視。
對于消費者來說,遇到問題一定要及時回報,因為消費者也扮演着産品監督的角色。
對于企業而言,也必須重視汽車的網絡安全,因為一旦出問題,會影響人身安全或者造成重大交通事故。
對于汽車生産商和供應鍊上的企業來講,要做好網絡安全的自查,做好資料安全的監督和治理,做好相應的管理。
對于行業監管部門,應當逐漸完善網絡安全管理的法律法規。目前,這個領域相對還比較空白,沒有相應的要求和标準可供企業實施、落地。希望能通過企業、監管部門和消費者三方,形成共同的監管機制。
而對于安全技術公司、第三方安全公司來說,它們能提供的是技術支撐,給汽車帶來資料安全的保障。
新聞晨報·周到:最近,深圳市人大常委會透露,《深圳智能網聯汽車管理條例》(以下簡稱《條例》)已經過了“三審”,有望在年内出台。這将是國内首部規範智能網聯汽車管理的法規。對此您有什麼看法?
楊蔚:對于智能網聯汽車來說,它的網絡安全标準和政策原先是空白的。這部法規如果能出台,就能填補監管的空白。
有關智能網聯汽車的法規即将在深圳率先誕生,我認為跟深圳特區的定位有關,在“有法可依”上會有一個示範性的效應。
有了這樣一部法規,能促進汽車安全、車聯網安全的更加規範,給整個産業提供了指導性的建議,也讓産業更加利好,吸引更多的車聯網企業、供應鍊企業落戶當地,促進整個産業鍊上下遊更加健康、有序地發展。在我看來,這種先行先試是有借鑒意義的。