越来越多的乘用车正在成为“聪明车”,为人们生活带来更多便利,但随之而来的数据安全问题也浮出水面。
2024年1月16号,中国电动汽车百人会联合腾讯云发布《智能网联汽车数据安全年度洞察(2023)-企业免疫力建设》报告(以下简称“报告”)。该报告前后历时3个月,调研了十余家汽车主机厂商及安全厂商,对汽车行业在边界安全、端点安全、应用开发安全、安全运营、数据安全治理几个维度上进行了考察,梳理了车企共同面临的挑战以及部分领域的最佳实践,为汽车行业数据安全水平的规范发展提供了重要参考依据。
左起分别是:21世纪经济报道合规科技新闻部副主任王俊,腾讯安全数据安全产品总监徐展,蔚来数据合规及反垄断法务负责人王诗笋,车百智库研究院汽车数据研究中心负责人贾浩,中国电动汽车百人会副秘书长师建华,中国法学会网络与信息法学研究会常务副秘书长、《人工智能示范法》首席专家周辉,腾讯安全科恩实验室研究员、香港理工大学博士研究生景鹏飞,星纪魅族集团数据合规执行总监朱玲凤,腾讯智慧出行解决方案总经理姚振
中国电动汽车百人会副秘书长师建华表示:“汽车数据安全是汽车行业与信息安全行业交叉融合的又一新领域。百人会联合腾讯云,围绕行业进展与企业实践进行研究,以期为企业数据安全管理提供指导,也能持续推动解决汽车数据安全管理衍生的一系列新问题。”
汽车数据保护初见成效,但仍面临挑战
根据工信部车联网动态监测情况显示,2020年以来发现的针对整车企业、车联网信息服务提供商等相关企业的恶意攻击达到280余万次。2023年初至今,就发生超过20起与车企相关数据泄露事件,汽车数据安全的现状不容乐观。
调研发现,在监管要求和安全事件双重驱动下,多数车企已经形成相对成熟的数据安全管理体系,80%以上整车企业都自建数据安全团队,并配备足够安全人员,形成与企业业务线并行的管理链路。但数据遍布企业研发、生产和流通的各个环节,且面临来自外部黑客攻击、第三方数据交换、内部舞弊等各个方面的风险,数据的有效治理面临不小的挑战。“我们也在期待有更多数据治理最佳实践可以参考。”调研中,有车企的数据安全负责人表示。
腾讯云安全总经理李滨认为,对数据的保护应该是企业所有安全工作的价值原点,而要实现数据的保护,车企需要从边界、端点、应用开发、安全运营、数据安全治理等各个维度建立起全面、主动的数字安全免疫力。《报告》对数家车企对自身在这五个方向上的安全现状做了详细的定量和定性分析,结果显示,车企在车端安全上普遍达到了较高水位,而在数据安全治理(数据分类分级、数据加解密、防泄露等)上则面临较大的挑战。
这些挑战来自监管压力、技术成熟度等各个方面。例如,在法规层面,有车企表示汽车数据监管更多聚焦在车和人相关的部分,监管对企业研发、生产等数据的分类分级未提出明确要求,不同部门或业务团队可能会使用不同的数据定义、收集和存储方法,导致数据一致性差、准确度低,进而降低企业数据治理效率,影响业务决策准确性。
在技术层面,由于汽车是“高速行驶中的智能设备”,对于时延、性能等指标有极高要求,现行的数据加密方案往往无法兼容加密和性能损耗的矛盾;一些具备阻断能力的安全产品,也因为准确性有待提高,目前也尚不具备应用条件。“现行智能车端上普遍都配备有IDPS(威胁检测与响应),但多数是在检测阶段,防护(P)据我们所知目前还没有车企启用,因为安全策略的下发有可能影响到行车安全。但未来这个一定是有应用空间的。”在调研中,一家车企安全相关负责人表示。
六大对策,汽车数据安全需要产业共建
《报告》对于2024年汽车数据安全的变量作出了几个关键判断:监管要求会随着合规下沉、防护技术提升、企业合作模式转变进行动态调整、发展与安全的平衡是主旋律。同时,以大模型为代表的AI技术创新不可避免会带来新的数据安全风险,需要提前进行防范和布局。
智能汽车的数据安全问题已经演变成行业普遍问题,需要全行业来共同解决。尽管面临诸多挑战,但《报告》认为,随着法律框架不断完善,车企在数据安全组织制度、专业人员配备上都已初步完善,第三方专业汽车数据安全解决方案厂商不断涌现,汽车构建数据安全免疫力已具备完备的产业基础,并从法规、标准、平台机制多个角度提出了6条建议:
一,完善数据分类分级指导要求。
二,加强上下游协同,强化供应链安全管理。
三,加快防护技术验证及标准制定,提升整车数据与网络安全防护能力。
四,加强数据安全配套服务供给。
五,通过试点开展数据安全实践。
六,引导企业变被动为主动,加强数据安全合规。
报告指出,智能汽车技术复杂度越来越高,车企难以依靠自身的力量解决日益复杂的数据安全问题,借助专业的安全厂商的技术和经验能够快速解决企业面临的技术问题。与安全厂商合作共建,可以降低车企在数据安全建设方面的成本。
当前,车、路、云、网、图协同发展,信息安全更逐渐成为智能汽车发展的决胜关键。数据安全、车端安全正成为影响消费者购车决策的重要因子,也是车企智能化竞争新的分水岭。汽车是国民经济支柱产业,规范汽车数据安全、促进汽车产业又快又好地实现数字化转型,将有效拉动产业高质量发展。
中国电动汽车百人会成立于2014年,汇聚国内外来自政府、学界、产业界的各界人士,硏究行业难点及热点问题,以权威研究为相关政府部门和行业参与者提供参考,助推汽车产业变革。电动汽车百人会以其研究的专业性、全面性,备受车企推崇。腾讯拥有20余年安全攻防实战经验,在车联网安全方面积累了国际领先安全研究成果,目前已经累计为20余家整车企业提供智能网联汽车安全解决方案和专家服务。
