智能網(wǎng)聯(lián)汽車(chē)信息安全發(fā)展報(bào)告(2021)
一、智能網(wǎng)聯(lián)汽車(chē)信息安全具備三重重要意義
本文引用地址:http://2s4d.com/article/202203/431861.htm
· 國(guó)家安全的重要防線
· 行業(yè)可持續(xù)健康發(fā)展
· 與個(gè)人隱私保護(hù)相關(guān)
1、智能網(wǎng)聯(lián)汽車(chē)信息安全是國(guó)家安全的重要防線
統(tǒng)籌安全與發(fā)展是新時(shí)期我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展的指導(dǎo)思想,而網(wǎng)絡(luò)空間安全已上升為國(guó)家安全戰(zhàn)略。
習(xí)近平總書(shū)記指出:沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全,沒(méi)有信息化就沒(méi)有現(xiàn)代化
近年來(lái),我國(guó)陸續(xù)出臺(tái)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法律法規(guī)。中央網(wǎng)信辦、工信部、公安部、交通部等相關(guān)主管部門(mén)從產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展的各環(huán)節(jié)進(jìn)行規(guī)章制度、標(biāo)準(zhǔn)體系的制修訂、開(kāi)展專(zhuān)項(xiàng)審查整治行動(dòng)等工作部署。
2、智能網(wǎng)聯(lián)汽車(chē)信息安全事關(guān)行業(yè)的可持續(xù)健康
汽車(chē)安全領(lǐng)域的三大技術(shù)為信息安全、功能安全和預(yù)期功能安全,它們共同構(gòu)成了汽車(chē)的安全基線。
隨著汽車(chē)智能化、網(wǎng)聯(lián)化水平的提升以及各界對(duì)整體網(wǎng)絡(luò)環(huán)境安全的日益重視,信息安全技術(shù)正在占據(jù)越來(lái)越重要的地位,逐漸成為汽車(chē)安全的基本屬性之一。如果信息安全無(wú)法有效保障,智能網(wǎng)聯(lián)汽車(chē)的產(chǎn)業(yè)發(fā)展和市場(chǎng)化推進(jìn)都將面臨巨大阻礙。隨著智能網(wǎng)聯(lián)汽車(chē)行業(yè)的發(fā)展駛上“快車(chē)道”,信息安全逐漸成為研發(fā)與商業(yè)化的核心難題。因此,提升汽車(chē)信息安全、加強(qiáng)數(shù)據(jù)安全監(jiān)管、加大數(shù)據(jù)隱私保護(hù),成為了“兩會(huì)”的熱議話題和行業(yè)訴求。
3、智能網(wǎng)聯(lián)汽車(chē)信息安全與個(gè)人隱私保護(hù)息息相關(guān)
智能網(wǎng)聯(lián)汽車(chē)所產(chǎn)生的數(shù)據(jù)既涵蓋了與車(chē)輛信息安全運(yùn)行關(guān)聯(lián)的數(shù)據(jù),也包括了用戶(hù)數(shù)據(jù)、汽車(chē)應(yīng)用服務(wù)相關(guān)數(shù)據(jù)。這些數(shù)據(jù)將用戶(hù)的線上和線下信息結(jié)合,因此一旦其數(shù)據(jù)出現(xiàn)泄露,汽車(chē)用戶(hù)的個(gè)人隱私將難以得到保障。同時(shí),智能網(wǎng)聯(lián)汽車(chē)或TSP云平臺(tái)一旦遭受非法入侵和攻擊,將會(huì)導(dǎo)致車(chē)輛被遠(yuǎn)程解鎖以及啟動(dòng),甚至其動(dòng)力系統(tǒng)和轉(zhuǎn)向系統(tǒng)都可能會(huì)被惡意控制,從而造成車(chē)輛行駛安全事故或車(chē)輛被竊取的嚴(yán)重后果。
二、智能網(wǎng)聯(lián)汽車(chē)信息安全新形勢(shì)
1、智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)發(fā)展邁向新速度
2021年自主品牌L3級(jí)自動(dòng)駕駛汽車(chē)陸續(xù)量產(chǎn),小鵬汽車(chē)、蔚來(lái)、威馬汽車(chē)等造車(chē)新勢(shì)力不斷升級(jí)自動(dòng)駕駛技術(shù),基于智能汽車(chē)的“出行服務(wù)”、代客泊車(chē)、無(wú)人低速配送等特定場(chǎng)景成為量產(chǎn)切入點(diǎn),百度、小馬智行、滴滴等公司開(kāi)展RoboTaxi示范運(yùn)行工作,百度、阿里巴巴、騰訊、華為等互聯(lián)網(wǎng)與ICT企業(yè)深入?yún)⑴c,汽車(chē)與相關(guān)產(chǎn)業(yè)加速跨界融合和深度協(xié)同,產(chǎn)業(yè)鏈重構(gòu),價(jià)值鏈不斷擴(kuò)展延伸,智能網(wǎng)聯(lián)汽車(chē)市場(chǎng)規(guī)模日益增加。
到2025年、2030年,部分自動(dòng)駕駛、有條件自動(dòng)駕駛智能網(wǎng)聯(lián)汽車(chē)銷(xiāo)量占當(dāng)年汽車(chē)總銷(xiāo)量的比例分別為50%、70%。
2、智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)發(fā)展面臨新風(fēng)險(xiǎn)
在傳統(tǒng)交通工具時(shí)代,汽車(chē)處于信息孤島狀態(tài),其信息安全需求主要體現(xiàn)在娛樂(lè)、連接、導(dǎo)航等車(chē)載信息娛樂(lè)系統(tǒng)。
智能網(wǎng)聯(lián)汽車(chē)的信息安全風(fēng)險(xiǎn)主要包括以下七個(gè)方面:車(chē)外網(wǎng)絡(luò)安全風(fēng)險(xiǎn)(包括短距離無(wú)線網(wǎng)絡(luò)、遠(yuǎn)距離移動(dòng)網(wǎng)絡(luò)、V2X網(wǎng)絡(luò)、OTA、TSP云平臺(tái)、APP)、車(chē)內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)(包括CAN總線、T-BOX 、OBD、IVI)和其他網(wǎng)絡(luò)安全風(fēng)險(xiǎn)(充電電樁安全風(fēng)險(xiǎn)、數(shù)據(jù)泄露風(fēng)險(xiǎn))。
三、智能網(wǎng)聯(lián)汽車(chē)信息安全最新進(jìn)展
1、各國(guó)正加快體系化政策的制定
聯(lián)合國(guó)方面:為積極應(yīng)對(duì)車(chē)輛的智能化、網(wǎng)聯(lián)化技術(shù)的快速發(fā)展,UN WP.29啟動(dòng)了自1952年成立以來(lái)最大力度的改革,整合重組并設(shè)立了新的自動(dòng)駕駛車(chē)輛工作組(GRVA),目的是加快推進(jìn)功能要求、測(cè)試方法和信息安全等相關(guān)法規(guī)的制定與國(guó)際協(xié)調(diào)。2019年6月,日內(nèi)瓦召開(kāi)的第178次全體會(huì)議審議通過(guò)的《自動(dòng)駕駛汽車(chē)框架文件》,明確了L3及更高級(jí)別自動(dòng)駕駛的安全性和安全防護(hù)的關(guān)鍵原則,其中原則七、八分別是“信息安全”和“軟件更新”。2021年1月UN WP.29 宣布 CS/OTA及ALKS三項(xiàng)法規(guī)正式在1958《協(xié)議國(guó)》正式生效。
國(guó)內(nèi):2021年,工信部及公安部分別發(fā)布了《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》及《中華人民共和國(guó)道路交通安全法》征求意見(jiàn)稿,進(jìn)一步加速產(chǎn)品準(zhǔn)入及豁免機(jī)制建設(shè),推動(dòng)我國(guó)智能駕駛產(chǎn)業(yè)的商業(yè)化落地。2021年8月20日,國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展改革委、工業(yè)和信息化部、公安部、交通運(yùn)輸部近日聯(lián)合發(fā)布了《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》,規(guī)范汽車(chē)數(shù)據(jù)使用管理。
2、各國(guó)正加快健全合規(guī)體系
聯(lián)合國(guó)方面:2020年6月24日,聯(lián)合國(guó)(WP.29)第181次全體會(huì)議上,投票表決通過(guò)了信息安全(Cybersecurity)、軟件更新(Software Updates)以及自動(dòng)車(chē)道保持系統(tǒng)(Automotive lane Keeping Systems, ALKS)3項(xiàng)智能網(wǎng)聯(lián)汽車(chē)領(lǐng)域的重要法規(guī)。聯(lián)合國(guó)“信息安全”與“軟件升級(jí)”兩項(xiàng)新法規(guī)將通過(guò)為汽車(chē)制造商建立明確的性能和審核要求,幫助解決這些安全風(fēng)險(xiǎn)。
國(guó)內(nèi):近期,先后出臺(tái)《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》。
2021年,四部門(mén)聯(lián)合發(fā)布《常見(jiàn)類(lèi)型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》,旨在落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》關(guān)于個(gè)人信息收集合法、正當(dāng)、必要的原則,規(guī)范移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)個(gè)人信息收集行為,保障公民個(gè)人信息安全?!兑?guī)定》明確了地圖導(dǎo)航、網(wǎng)絡(luò)約車(chē)、即時(shí)通信、網(wǎng)絡(luò)購(gòu)物等39類(lèi)常見(jiàn)類(lèi)型移動(dòng)應(yīng)用程序必要個(gè)人信息范圍,要求其運(yùn)營(yíng)者不得因用戶(hù)不同意提供非必要個(gè)人信息,而拒絕用戶(hù)使用App基本功能服務(wù)。
3、OTA正成為行業(yè)關(guān)注熱點(diǎn)
根據(jù)SBD Automotive 統(tǒng)計(jì),2020年全球銷(xiāo)售車(chē)輛具備車(chē)內(nèi)置聯(lián)網(wǎng)功能占比約48%?!豆?jié)能與新能源汽車(chē)技術(shù)路線圖2.0》預(yù)計(jì)到2025年,我國(guó)部分自動(dòng)駕駛、有條件自動(dòng)駕駛智能網(wǎng)聯(lián)汽車(chē)的銷(xiāo)量占當(dāng)年汽車(chē)總銷(xiāo)量的比例超過(guò)50%,高度自動(dòng)駕駛智能網(wǎng)聯(lián)汽車(chē)開(kāi)始進(jìn)入市場(chǎng),C-V2X終端新車(chē)裝配率達(dá)50%。隨著汽車(chē)智能化、網(wǎng)聯(lián)化技術(shù)快速發(fā)展,OTA技術(shù)作為汽車(chē)產(chǎn)品軟件更新的主要手段,將成為智能網(wǎng)聯(lián)車(chē)標(biāo)配。
汽車(chē)廠商目前對(duì)OTA的需求主要包括減少網(wǎng)絡(luò)攻擊、滿(mǎn)足生產(chǎn)中刷寫(xiě)時(shí)間限制、降低車(chē)輛召回和維保成本、更新應(yīng)用服務(wù)、提供增值服務(wù)、持續(xù)提升與車(chē)主之間的粘性關(guān)系等。
圖 OTA實(shí)施流程
截至2020年,部門(mén)整車(chē)廠已經(jīng)進(jìn)行了數(shù)十次OTA活動(dòng),未來(lái)隨著自動(dòng)駕駛和車(chē)聯(lián)網(wǎng)等技術(shù)發(fā)展,未來(lái)汽車(chē)質(zhì)量問(wèn)題將主要集中在軟件,OTA活動(dòng)將更加頻繁。
表 2020年主機(jī)廠OTA升級(jí)重要事件
資料來(lái)源:車(chē)云網(wǎng)
4、汽車(chē)信息安全事件頻發(fā)
根據(jù)Upstream報(bào)告統(tǒng)計(jì),2010-2020年間車(chē)聯(lián)網(wǎng)信息安全攻擊前四項(xiàng)分別為:服務(wù)器攻擊、數(shù)字鑰匙攻擊、APP攻擊、OBD攻擊。當(dāng)前,汽車(chē)信息安全攻擊手段多元化、范圍更廣,危害面更大,已造成部分品牌產(chǎn)品召回。
圖 2010-2019年全球信息安全問(wèn)題導(dǎo)致的汽車(chē)召回統(tǒng)計(jì)
5、安全檢測(cè)成為行業(yè)新需求
車(chē)輛成為移動(dòng)互聯(lián)終端后,其安全檢測(cè)除了需要覆蓋車(chē)輛本身相關(guān)的智能交互、智能體驗(yàn)、輔助駕駛、自動(dòng)駕駛、OTA等相關(guān)方面之外、還需考慮整個(gè)車(chē)聯(lián)網(wǎng)涵蓋的全生態(tài)圈的安全防護(hù)和檢測(cè)。
目前,智能網(wǎng)聯(lián)汽車(chē)技術(shù)相關(guān)企業(yè)大多通過(guò)挖掘漏洞的方式建立安全防護(hù)知識(shí)庫(kù),發(fā)布智能網(wǎng)聯(lián)汽車(chē)安全防護(hù)情報(bào)等手段提升智能網(wǎng)聯(lián)汽車(chē)威脅預(yù)警、安全防護(hù)和應(yīng)急處置能力。然而該方式存在技術(shù)力量不足、安全支撐能力較弱的問(wèn)題。因此需要行業(yè)第三方機(jī)構(gòu)針對(duì)性的建設(shè)智能網(wǎng)聯(lián)汽車(chē)檢測(cè)評(píng)價(jià)體系,保障智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)的持續(xù)健康發(fā)展,落實(shí)國(guó)家智能網(wǎng)聯(lián)汽車(chē)發(fā)展戰(zhàn)略。
6、隱私保護(hù)成為重要訴求
近年來(lái),隨著汽車(chē)智能化網(wǎng)聯(lián)化的發(fā)展,汽車(chē)產(chǎn)生與關(guān)聯(lián)的數(shù)據(jù)量呈爆發(fā)式增長(zhǎng)。然而車(chē)載數(shù)據(jù)的過(guò)度采集和越界使用,也給用戶(hù)造成嚴(yán)重影響。多款主流車(chē)載移動(dòng)應(yīng)用存在未經(jīng)用戶(hù)許可獲取隱私數(shù)據(jù)、超業(yè)務(wù)范圍獲取隱私數(shù)據(jù)以及強(qiáng)行捆綁推廣應(yīng)用軟件等違規(guī)行為。
面對(duì)隱私保護(hù)不當(dāng)造成的數(shù)據(jù)泄漏、財(cái)產(chǎn)損失、監(jiān)管處罰等風(fēng)險(xiǎn),汽車(chē)生產(chǎn)商在隱私合規(guī)方面挑戰(zhàn)重重。一是對(duì)車(chē)載移動(dòng)應(yīng)用隱私保護(hù)相關(guān)的合規(guī)性要求理解不深、尺度把握不好;二是缺乏評(píng)估車(chē)載移動(dòng)應(yīng)用隱私信息安全的專(zhuān)業(yè)能力,對(duì)第三方外包的開(kāi)發(fā)情況了解不清晰;三是車(chē)載移動(dòng)應(yīng)用被通報(bào)后可能存在整改不到位的情況,而面臨更嚴(yán)厲處罰。
因此,對(duì)車(chē)輛移動(dòng)應(yīng)用進(jìn)行全方位的數(shù)據(jù)隱私安全合規(guī)檢測(cè),提前發(fā)現(xiàn)合規(guī)隱患,避免由此帶來(lái)的數(shù)據(jù)泄漏、資產(chǎn)損失、監(jiān)管處罰等風(fēng)險(xiǎn),已成為汽車(chē)信息安全領(lǐng)域的迫切需求。
評(píng)論