智能網(wǎng)聯(lián)汽車信息安全發(fā)展報告(2021)
一、智能網(wǎng)聯(lián)汽車信息安全具備三重重要意義
本文引用地址:http://www.ex-cimer.com/article/202203/431861.htm
· 國家安全的重要防線
· 行業(yè)可持續(xù)健康發(fā)展
· 與個人隱私保護(hù)相關(guān)
1、智能網(wǎng)聯(lián)汽車信息安全是國家安全的重要防線
統(tǒng)籌安全與發(fā)展是新時期我國經(jīng)濟(jì)社會發(fā)展的指導(dǎo)思想,而網(wǎng)絡(luò)空間安全已上升為國家安全戰(zhàn)略。
習(xí)近平總書記指出:沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化
近年來,我國陸續(xù)出臺《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等法律法規(guī)。中央網(wǎng)信辦、工信部、公安部、交通部等相關(guān)主管部門從產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展的各環(huán)節(jié)進(jìn)行規(guī)章制度、標(biāo)準(zhǔn)體系的制修訂、開展專項(xiàng)審查整治行動等工作部署。
2、智能網(wǎng)聯(lián)汽車信息安全事關(guān)行業(yè)的可持續(xù)健康
汽車安全領(lǐng)域的三大技術(shù)為信息安全、功能安全和預(yù)期功能安全,它們共同構(gòu)成了汽車的安全基線。
隨著汽車智能化、網(wǎng)聯(lián)化水平的提升以及各界對整體網(wǎng)絡(luò)環(huán)境安全的日益重視,信息安全技術(shù)正在占據(jù)越來越重要的地位,逐漸成為汽車安全的基本屬性之一。如果信息安全無法有效保障,智能網(wǎng)聯(lián)汽車的產(chǎn)業(yè)發(fā)展和市場化推進(jìn)都將面臨巨大阻礙。隨著智能網(wǎng)聯(lián)汽車行業(yè)的發(fā)展駛上“快車道”,信息安全逐漸成為研發(fā)與商業(yè)化的核心難題。因此,提升汽車信息安全、加強(qiáng)數(shù)據(jù)安全監(jiān)管、加大數(shù)據(jù)隱私保護(hù),成為了“兩會”的熱議話題和行業(yè)訴求。
3、智能網(wǎng)聯(lián)汽車信息安全與個人隱私保護(hù)息息相關(guān)
智能網(wǎng)聯(lián)汽車所產(chǎn)生的數(shù)據(jù)既涵蓋了與車輛信息安全運(yùn)行關(guān)聯(lián)的數(shù)據(jù),也包括了用戶數(shù)據(jù)、汽車應(yīng)用服務(wù)相關(guān)數(shù)據(jù)。這些數(shù)據(jù)將用戶的線上和線下信息結(jié)合,因此一旦其數(shù)據(jù)出現(xiàn)泄露,汽車用戶的個人隱私將難以得到保障。同時,智能網(wǎng)聯(lián)汽車或TSP云平臺一旦遭受非法入侵和攻擊,將會導(dǎo)致車輛被遠(yuǎn)程解鎖以及啟動,甚至其動力系統(tǒng)和轉(zhuǎn)向系統(tǒng)都可能會被惡意控制,從而造成車輛行駛安全事故或車輛被竊取的嚴(yán)重后果。
二、智能網(wǎng)聯(lián)汽車信息安全新形勢
1、智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展邁向新速度
2021年自主品牌L3級自動駕駛汽車陸續(xù)量產(chǎn),小鵬汽車、蔚來、威馬汽車等造車新勢力不斷升級自動駕駛技術(shù),基于智能汽車的“出行服務(wù)”、代客泊車、無人低速配送等特定場景成為量產(chǎn)切入點(diǎn),百度、小馬智行、滴滴等公司開展RoboTaxi示范運(yùn)行工作,百度、阿里巴巴、騰訊、華為等互聯(lián)網(wǎng)與ICT企業(yè)深入?yún)⑴c,汽車與相關(guān)產(chǎn)業(yè)加速跨界融合和深度協(xié)同,產(chǎn)業(yè)鏈重構(gòu),價值鏈不斷擴(kuò)展延伸,智能網(wǎng)聯(lián)汽車市場規(guī)模日益增加。
到2025年、2030年,部分自動駕駛、有條件自動駕駛智能網(wǎng)聯(lián)汽車銷量占當(dāng)年汽車總銷量的比例分別為50%、70%。
2、智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展面臨新風(fēng)險
在傳統(tǒng)交通工具時代,汽車處于信息孤島狀態(tài),其信息安全需求主要體現(xiàn)在娛樂、連接、導(dǎo)航等車載信息娛樂系統(tǒng)。
智能網(wǎng)聯(lián)汽車的信息安全風(fēng)險主要包括以下七個方面:車外網(wǎng)絡(luò)安全風(fēng)險(包括短距離無線網(wǎng)絡(luò)、遠(yuǎn)距離移動網(wǎng)絡(luò)、V2X網(wǎng)絡(luò)、OTA、TSP云平臺、APP)、車內(nèi)網(wǎng)絡(luò)安全風(fēng)險(包括CAN總線、T-BOX 、OBD、IVI)和其他網(wǎng)絡(luò)安全風(fēng)險(充電電樁安全風(fēng)險、數(shù)據(jù)泄露風(fēng)險)。
三、智能網(wǎng)聯(lián)汽車信息安全最新進(jìn)展
1、各國正加快體系化政策的制定
聯(lián)合國方面:為積極應(yīng)對車輛的智能化、網(wǎng)聯(lián)化技術(shù)的快速發(fā)展,UN WP.29啟動了自1952年成立以來最大力度的改革,整合重組并設(shè)立了新的自動駕駛車輛工作組(GRVA),目的是加快推進(jìn)功能要求、測試方法和信息安全等相關(guān)法規(guī)的制定與國際協(xié)調(diào)。2019年6月,日內(nèi)瓦召開的第178次全體會議審議通過的《自動駕駛汽車框架文件》,明確了L3及更高級別自動駕駛的安全性和安全防護(hù)的關(guān)鍵原則,其中原則七、八分別是“信息安全”和“軟件更新”。2021年1月UN WP.29 宣布 CS/OTA及ALKS三項(xiàng)法規(guī)正式在1958《協(xié)議國》正式生效。
國內(nèi):2021年,工信部及公安部分別發(fā)布了《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》及《中華人民共和國道路交通安全法》征求意見稿,進(jìn)一步加速產(chǎn)品準(zhǔn)入及豁免機(jī)制建設(shè),推動我國智能駕駛產(chǎn)業(yè)的商業(yè)化落地。2021年8月20日,國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展改革委、工業(yè)和信息化部、公安部、交通運(yùn)輸部近日聯(lián)合發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》,規(guī)范汽車數(shù)據(jù)使用管理。
2、各國正加快健全合規(guī)體系
聯(lián)合國方面:2020年6月24日,聯(lián)合國(WP.29)第181次全體會議上,投票表決通過了信息安全(Cybersecurity)、軟件更新(Software Updates)以及自動車道保持系統(tǒng)(Automotive lane Keeping Systems, ALKS)3項(xiàng)智能網(wǎng)聯(lián)汽車領(lǐng)域的重要法規(guī)。聯(lián)合國“信息安全”與“軟件升級”兩項(xiàng)新法規(guī)將通過為汽車制造商建立明確的性能和審核要求,幫助解決這些安全風(fēng)險。
國內(nèi):近期,先后出臺《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》、《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》、《中華人民共和國個人信息保護(hù)法》。
2021年,四部門聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》,旨在落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》關(guān)于個人信息收集合法、正當(dāng)、必要的原則,規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序(App)個人信息收集行為,保障公民個人信息安全?!兑?guī)定》明確了地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時通信、網(wǎng)絡(luò)購物等39類常見類型移動應(yīng)用程序必要個人信息范圍,要求其運(yùn)營者不得因用戶不同意提供非必要個人信息,而拒絕用戶使用App基本功能服務(wù)。
3、OTA正成為行業(yè)關(guān)注熱點(diǎn)
根據(jù)SBD Automotive 統(tǒng)計(jì),2020年全球銷售車輛具備車內(nèi)置聯(lián)網(wǎng)功能占比約48%?!豆?jié)能與新能源汽車技術(shù)路線圖2.0》預(yù)計(jì)到2025年,我國部分自動駕駛、有條件自動駕駛智能網(wǎng)聯(lián)汽車的銷量占當(dāng)年汽車總銷量的比例超過50%,高度自動駕駛智能網(wǎng)聯(lián)汽車開始進(jìn)入市場,C-V2X終端新車裝配率達(dá)50%。隨著汽車智能化、網(wǎng)聯(lián)化技術(shù)快速發(fā)展,OTA技術(shù)作為汽車產(chǎn)品軟件更新的主要手段,將成為智能網(wǎng)聯(lián)車標(biāo)配。
汽車廠商目前對OTA的需求主要包括減少網(wǎng)絡(luò)攻擊、滿足生產(chǎn)中刷寫時間限制、降低車輛召回和維保成本、更新應(yīng)用服務(wù)、提供增值服務(wù)、持續(xù)提升與車主之間的粘性關(guān)系等。
圖 OTA實(shí)施流程
截至2020年,部門整車廠已經(jīng)進(jìn)行了數(shù)十次OTA活動,未來隨著自動駕駛和車聯(lián)網(wǎng)等技術(shù)發(fā)展,未來汽車質(zhì)量問題將主要集中在軟件,OTA活動將更加頻繁。
表 2020年主機(jī)廠OTA升級重要事件
資料來源:車云網(wǎng)
4、汽車信息安全事件頻發(fā)
根據(jù)Upstream報告統(tǒng)計(jì),2010-2020年間車聯(lián)網(wǎng)信息安全攻擊前四項(xiàng)分別為:服務(wù)器攻擊、數(shù)字鑰匙攻擊、APP攻擊、OBD攻擊。當(dāng)前,汽車信息安全攻擊手段多元化、范圍更廣,危害面更大,已造成部分品牌產(chǎn)品召回。
圖 2010-2019年全球信息安全問題導(dǎo)致的汽車召回統(tǒng)計(jì)
5、安全檢測成為行業(yè)新需求
車輛成為移動互聯(lián)終端后,其安全檢測除了需要覆蓋車輛本身相關(guān)的智能交互、智能體驗(yàn)、輔助駕駛、自動駕駛、OTA等相關(guān)方面之外、還需考慮整個車聯(lián)網(wǎng)涵蓋的全生態(tài)圈的安全防護(hù)和檢測。
目前,智能網(wǎng)聯(lián)汽車技術(shù)相關(guān)企業(yè)大多通過挖掘漏洞的方式建立安全防護(hù)知識庫,發(fā)布智能網(wǎng)聯(lián)汽車安全防護(hù)情報等手段提升智能網(wǎng)聯(lián)汽車威脅預(yù)警、安全防護(hù)和應(yīng)急處置能力。然而該方式存在技術(shù)力量不足、安全支撐能力較弱的問題。因此需要行業(yè)第三方機(jī)構(gòu)針對性的建設(shè)智能網(wǎng)聯(lián)汽車檢測評價體系,保障智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)的持續(xù)健康發(fā)展,落實(shí)國家智能網(wǎng)聯(lián)汽車發(fā)展戰(zhàn)略。
6、隱私保護(hù)成為重要訴求
近年來,隨著汽車智能化網(wǎng)聯(lián)化的發(fā)展,汽車產(chǎn)生與關(guān)聯(lián)的數(shù)據(jù)量呈爆發(fā)式增長。然而車載數(shù)據(jù)的過度采集和越界使用,也給用戶造成嚴(yán)重影響。多款主流車載移動應(yīng)用存在未經(jīng)用戶許可獲取隱私數(shù)據(jù)、超業(yè)務(wù)范圍獲取隱私數(shù)據(jù)以及強(qiáng)行捆綁推廣應(yīng)用軟件等違規(guī)行為。
面對隱私保護(hù)不當(dāng)造成的數(shù)據(jù)泄漏、財(cái)產(chǎn)損失、監(jiān)管處罰等風(fēng)險,汽車生產(chǎn)商在隱私合規(guī)方面挑戰(zhàn)重重。一是對車載移動應(yīng)用隱私保護(hù)相關(guān)的合規(guī)性要求理解不深、尺度把握不好;二是缺乏評估車載移動應(yīng)用隱私信息安全的專業(yè)能力,對第三方外包的開發(fā)情況了解不清晰;三是車載移動應(yīng)用被通報后可能存在整改不到位的情況,而面臨更嚴(yán)厲處罰。
因此,對車輛移動應(yīng)用進(jìn)行全方位的數(shù)據(jù)隱私安全合規(guī)檢測,提前發(fā)現(xiàn)合規(guī)隱患,避免由此帶來的數(shù)據(jù)泄漏、資產(chǎn)損失、監(jiān)管處罰等風(fēng)險,已成為汽車信息安全領(lǐng)域的迫切需求。
評論