黑客攻击5年增长20倍 车联网安全迫在眉睫
随着互联网、智能化技术在汽车领域的不断拓展,车联网作为汽车、电子、信息等深度融合的新兴产业生态,已成为推动制造业高质量发展的重要动力。然而,安全问题已经成为影响车联网行业健康发展的一个巨大隐患。业界专家认为,当下车联网的安全问题已经由实验室研究院开始走向产业化对抗,在经过整车安全单点防护阶段之后,当前行业进入体系化、标准化建设阶段,未来还将迎来实战化阶段。
黑客攻击5年增长20倍
“在我们调研过程中获知,一辆智能网联汽车每天至少收集10TB的数据,不仅数量极大,而且涉及驾乘人员的出行轨迹、习惯、语音、视频等等,一旦遭受侵害会泄露个人隐私。”国家工业信息安全发展研究中心副总工程师黄鹏表示,2020年全球相关恶意攻击超过280万余次,黑客通过网络攻击的手段可以控制车辆行驶,也可以利用软件的漏洞操控智能网联汽车。
作为智能网联汽车“明星”品牌,特斯拉就曾被找出大量安全漏洞。特斯拉研发的第二款汽车产品Model S发布两年后就被发现了漏洞,而利用该漏洞缺陷,控制者能够通过远程控制实现开锁、鸣笛等操作。
2021年,特斯拉再度因摄像头记录驾驶员面部特征及车内大部分空间而陷入“隐私门”,其中被曝光的监控录像就是一名黑客入侵特斯拉汽车后获得的信息。除了网络、程序技术带来的安全风险外,自动驾驶、人工智能等数字化技术的应用也让汽车的安全风险相应增加。在有关数字化应用的攻击中,黑客越来越多地瞄准大数据、人工智能和自动驾驶系统。
据介绍,过去5年间,黑客对智能汽车攻击的次数增长了20倍,其中近30%的攻击涉及车辆控制。而目前大部分的车型在信息安全防护水平方面偏低,车内相关联网部件及控制部件防护可靠性不高,且缺失一定的安全策略,这会导致车内敏感信息泄露或被篡改,以及车辆行驶中的异常行为,还有可能危及人的生命安全。2020年数据显示,“白帽子”发现的安全问题和黑客导致的安全事件基本是1:1的比例,由此可见车联网的安全问题已经由实验室研究院开始走向产业化对抗,而汽车安全事件中网络安全问题占比也高达六成左右。
对于智能网联汽车来说,现在的软件安全问题还只是个开始。360集团工业互联网安全研究院院长张建新表示,在经过整车安全单点防护阶段之后,当前行业进入体系化、标准化建设阶段,未来还将迎来实战化阶段。新的技术引入带来了新的风险点,随着车联网使用范围不断拓展,新的问题也将会源源不断地出现。
车联网安全迫在眉睫
当前,我国车联网产业发展进入快车道,产业规模不断扩大。我国汽车保有量已超过3.8亿辆。其中,智能网联汽车数量快速增加,预计到2022年智能网联汽车将超过7800万辆。保障智能网联汽车数据安全已经成为技术升级和行业发展的必然需求,也是保障智能网联汽车行业健康发展的必要条件。
智能网联汽车的安全问题由来已久,从最早特斯拉汽车显现出被远程控制的可能性以来,汽车企业等业内主体也逐渐重视起了汽车安全问题。特斯拉最初并不承认存在信息安全问题,但在2017年美国州长协会会议上,马斯克承认“车队级别的黑客攻击”是特斯拉最担心的事情。此后,车联网安全问题被越来越多的汽车企业和科技企业所重视。目前,各大车企已经相继推出了多个关于车联网安全的整体解决方案,智能网联汽车的安全防御体系已经逐步建立起来。
智能网联汽车是我国“十四五”规划中大力发展的重要内容,它是基于新一代信息通信技术和大数据、人工智能手段,实现车内、车与云平台、车与车、车与路、车与人等全方位网络链接与智能管理的技术体系。伴随智能网联汽车产业发展,车联网数据应用场景众多,数据类型广、变化速率快,对数据安全提出了更高要求。
同时,由于车联网是新一代网络通信技术与汽车、电子、交通等领域深度融合的新业态,车联网网络安全标准体系需要从车联网基本构成要素出发,针对车载联网设备、基础设施等关键环节,提出覆盖终端与设施安全、网联通信安全等方面的技术架构。
业内专家表示,车联网的能力验证体系中需要引入政府、车企、车联网应用厂商等多个参与方,才能一同构建车联网的安全能力。据了解,目前国内已经有无锡、天津、长沙等国家级车联网先导区。这些先导区围绕工信部各项指示要求建设,其目的是为了解决标准化协议互通、数据安全、网络安全、商业应用模式等核心问题。
安全体系加快构建
近日,工信部发布了《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿),提出到2023年底,初步构建起车联网安全标准体系,完成50项以上重点急需安全标准的制定和修订工作,到2025年,形成较为完备的车联网安全标准体系,完成100项以上重点标准。
而在此之前不到一个月的时间内,工信部等部门已经连发多个文件强调车联网安全。其中,工信部发文要求车企联合电信企业,负责车联网卡的实名登记工作,包括建立严格的管理制度、建设管理平台,以及开展车联网身份认证和安全信任试点工作等。
今年以来,关于车联网安全的顶层设计不断完善。今年4月,工信部就发布了《智能网联汽车生产企业及产品准入管理指南(试行)》征求意见稿,从企业和产品两方面,对智能网联汽车网络安全作出了多项要求,包括依法收集、使用和保护个人信息,不得泄露涉及国家安全的敏感信息等。同月,全国信息安全标准化技术委员会也发布了《信息安全技术网联汽车采集数据的安全要求》标准草案。5月,国家网信办会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》,对汽车数据从收集、分析、存储到传输、查询、应用和删除等全流程作了较为详细的规定。6月,全国人大常委会表决通过了《数据安全法》,数据安全已经上升到了国家安全层面。
这些强化车联网安全的最新举措,围绕车与云安全通信、车与车安全通信、车与路安全通信、车与设备安全通信等方面展开,涉及车辆定位及感知数据的可信采集、汽车远程升级可信验证、基于安全通信的辅助驾驶和有条件自动驾驶应用、车路协同、车辆远程控制、无钥匙进入、新能源汽车充电应用等大量应用场景。这些也是互联网企业、车企乃至各大车联网示范区正在普遍测试的场景。
工信部表示,伴随汽车网联化发展,网络攻击威胁加速向车端、车联网平台蔓延,车联网网络安全事件不仅影响公民隐私、财产和生命安全,甚至可能危害社会安全和国家安全。因此,亟需面向车联网典型应用场景,建立车联网(智能网联汽车)网络安全标准体系,发挥标准引领规范作用,支撑车联网安全健康发展。
据张建新介绍,随着各方对安全问题的日益重视,车联网的行业安全标准体系在逐步完善,车联网的安全防御体系也已经逐步建立起来,并开始逐步应用。
同时,强化车联网安全需要相关行业企业协同发展,包括政府、汽车企业、电信企业、互联网企业、电子零部件企业、网络安全企业等都需要进一步加大对车联网安全的投入,从而共同完善车联网安全保护体系,提升车联网安全能力和水平。在政策密集出台的背景下,有些企业特别是跨国企业已经行动起来。特斯拉近期宣布在中国建立数据中心以实现数据存储本土化,福特、大众、宝马等车企也已经或打算在中国建立数据中心。