數(shù)據(jù)勒索頻繁發(fā)生 智能網聯(lián)汽車如何設置“安全鎖”？

“汽車中的攝像頭采集的人臉信息會不會被濫用？黑客會不會在高速公路行駛途中剎車、遙控方向盤或以解鎖車門為交換條件進行勒索？”近日，記者發(fā)現(xiàn)，隨著智能網聯(lián)汽車的發(fā)展，不少消費者對數(shù)據(jù)安全產生了疑惑和擔憂。

根據(jù)中研普華產業(yè)研究院發(fā)布的《2024—2029年中國智能網聯(lián)汽車行業(yè)深度調研及投資機會分析報告》，預計到2025年，中國智能網聯(lián)汽車產量將達到2.59億輛，在汽車保有量中的占比約75.6%。

“隨著智能網聯(lián)汽車的發(fā)展和應用，數(shù)據(jù)成為邊云協(xié)同計算的關鍵要素，但汽車數(shù)據(jù)安全風險也在增加。”國家工業(yè)信息安全發(fā)展研究中心數(shù)據(jù)安全所技術研究部副主任柳彩云在第四屆沈陽智能網聯(lián)汽車大會上表示。

柳彩云表示：“近年來，汽車數(shù)據(jù)安全的攻擊路徑逐漸變多，最近我們監(jiān)測工業(yè)領域數(shù)據(jù)安全風險情況，發(fā)現(xiàn)一個特點，汽車在數(shù)據(jù)泄露上屬于比較突出的行業(yè)，汽車領域中針對車企數(shù)據(jù)的勒索、數(shù)據(jù)的泄露、數(shù)據(jù)暗網交易的風險和事件頻繁發(fā)生?！?/p>

數(shù)據(jù)泄露風險逐年攀升

有數(shù)據(jù)顯示，一輛智能網聯(lián)汽車每天至少收集10TB的數(shù)據(jù)，不僅數(shù)量極大，而且涉及駕乘人員的出行軌跡、習慣、語音、視頻等關鍵信息，一旦遭受侵害會泄露個人隱私。除此之外，智能網聯(lián)汽車的產業(yè)鏈也在不斷延展，相關產業(yè)鏈涉及的數(shù)據(jù)將更加龐大。

“2023年上半年汽車領域的網絡趨勢報告提到，汽車行業(yè)的數(shù)據(jù)泄露事件占汽車安全事件總數(shù)的37%，數(shù)據(jù)泄露的風險也在逐年攀升?！绷试票硎?。

柳彩云介紹，據(jù)工業(yè)和信息化領域數(shù)據(jù)安全風險信息報送共享平臺統(tǒng)計，2023年汽車行業(yè)的數(shù)據(jù)安全風險達到281起?！斑@里面只是風險，并不一定是真正釀成實際的數(shù)據(jù)泄露或者是數(shù)據(jù)交易的事件。比2022年整體上升了251%。”她說道。

中國汽研北京院數(shù)據(jù)安全技術主任宋希在大會上則表示，目前在“車路云一體化”發(fā)展的過程當中，我國汽車行業(yè)面臨的風險不僅是車機端可能發(fā)生的攻擊，同時路側的設備，以及在進行V2X通信方式的模式之下，都有可能成為下一個攻擊的途徑或者是要點。

“在路側設備和傳輸通道都有可能會遭受劫持，從而獲取我們的重要數(shù)據(jù)。對于未來的技術以及安全駕駛會造成非常嚴重的影響?！彼f道。

宋希認為，對于汽車行業(yè)，大家都有意愿進行共享、使用數(shù)據(jù)，但可能基于現(xiàn)在一些數(shù)據(jù)具體保護方面的能力或者是技術方面的限制，許多企業(yè)其實對這方面還是有一定的顧慮，這也是影響汽車行業(yè)數(shù)據(jù)方面沒能實現(xiàn)共享的因素之一。

“制定數(shù)據(jù)分類分級標準并完成合規(guī)備案”

智能化是汽車產業(yè)發(fā)展的重要趨勢，而數(shù)據(jù)則是實現(xiàn)智能化的基石。隨著汽車智能化程度越來越高，守好數(shù)據(jù)確保安全，關乎到用戶的權益，更關乎行業(yè)發(fā)展進程。而汽車企業(yè)作為數(shù)據(jù)運營的主體，是數(shù)據(jù)安全的主體責任。

記者注意到，2024年2月26日，工業(yè)和信息化部印發(fā)《工業(yè)領域數(shù)據(jù)安全能力提升實施方案（2024—2026年）》，提出了具體的目標：到2026年年底，工業(yè)領域數(shù)據(jù)安全保障體系基本建立。

8月1日，為進一步加強搭載組合駕駛輔助系統(tǒng)的智能網聯(lián)汽車準入、召回和車輛軟件在線升級管理，工業(yè)和信息化部裝備工業(yè)一司聯(lián)合市場監(jiān)管總局質量發(fā)展局組織編制了《關于進一步加強智能網聯(lián)汽車準入、召回及軟件在線升級管理的通知（征求意見稿）》，向社會公開征求意見。

其中提到，健全安全保障能力。企業(yè)生產搭載組合駕駛輔助系統(tǒng)的智能網聯(lián)汽車產品的，制定相應的安全管理制度，明確安全責任部門和負責人，健全流程、方法、工具等設計驗證能力，完善數(shù)據(jù)安全保障、網絡安全保障、OTA升級管理、功能安全保障、預期功能安全保障等能力，保障在產品開發(fā)、生產、運行等階段進行有效的安全管理，健全企業(yè)產品技術標準和質量安全體系，持續(xù)保障產品質量安全。

中國信息通信研究院技術與標準研究所車聯(lián)網部副主任于潤東則給出了具體建議：“除最基礎的身份驗證外，還需要進行互信，包括不同車企、不同城市以及工信和公安跨部門體系的互信等。此外，我們還需在基礎設施網絡安全防護、數(shù)據(jù)合規(guī)處理（進行互信），無論是車輛采集數(shù)據(jù)還是路端采集數(shù)據(jù)，都需要滿足網信、地信、個人信息保護以及各個管理部門之間的要求?！?/p>

柳彩云則建議，應建立數(shù)據(jù)安全管理制度體系。一般從管理制度來說分成四層，一是戰(zhàn)略，二是管理具體的辦法，三是標準指南，四是操作表單。針對不同級別的數(shù)據(jù)提出相應強度安全防護的要求。同時，她還建議，應建設數(shù)據(jù)安全的防護技術手段以及建設數(shù)據(jù)安全監(jiān)測預警手段、開展數(shù)據(jù)安全風險評估以及針對不同的業(yè)務部門，以及管理層來開展數(shù)據(jù)安全的教育培訓。

她表示，車企應重點做好幾項關鍵任務：制定數(shù)據(jù)分類分級標準并完成合規(guī)備案；提供數(shù)據(jù)安全意識培訓；建立覆蓋數(shù)據(jù)全生命周期的安全管理制度；實施數(shù)據(jù)加密、操作審計、監(jiān)測預警等技術措施；建立常態(tài)化的數(shù)據(jù)安全監(jiān)測和預警體系；定期進行數(shù)據(jù)安全風險評估，確保合規(guī)。

宋希則建議，比如說車端一些涉及個人信息，可以有一個告知同意的過程?！搬槍γ舾袀€人信息要進行單獨的同意，另外，我們要分類型進行一些同意的操作。我們也建議企業(yè)開展風險評估方面的工作。”