车联网安全不容乐观 未来这一领域市场机会逐渐显现
随着新一代信息通信技术在交通领域落地,尤其是车联网的加快应用,车与车、车与路、车与人、车与网络之间数字化链接程度将越来越高,随之而来的安全风险也在增大,这对车辆信息和数字安全产生了更高的要求。
专家认为,汽车制造厂商需要第三方企业作为“安全伙伴”,更需要将系统和平台安全“底座”打牢。汽车产业链应从产品设计之初就将网络安全考虑纳入产品需求中,形成一体化、可持续、闭环生态式的安全保障体系,并贯穿产品的全生命周期,未来这一领域市场机会将逐渐显现。
车联网安全不容乐观
近期发布的《“十四五”现代综合交通运输体系发展规划》(下称《规划》)提出,推动新技术与交通行业深度融合,稳妥发展自动驾驶和车路协同等出行服务,鼓励自动驾驶在港口、物流园区等限定区域测试应用,推动发展智能公交、智慧停车、智慧安检等。
车联网发展仍在加速,但业内人士普遍认为,目前车联网安全整体水平仍处于“爬坡提升”阶段。北信源副总裁高曦对记者表示,车联网安全形势不能用乐观来形容,“目前公众关注的安全事件大部分局限在自动驾驶安全上,这类事件虽然更容易引发媒体和公众的关注和探讨,但驾驶安全仅是总体安全的一部分,用户在汽车全生命周期中会产生大量各种各样的数据,就车联网而言,数据安全层面需要引起重视。”
“车联网技术早期偏向业务探索,安全水平较为薄弱,所以曝出很多车联网安全漏洞,前些年一些安全研究员甚至可以无接触操控特斯拉汽车。”奇安信车联网安全专家孔宪梓介绍,车联网安全存在“短板效应”,从软件供应链、用户侧手机应用、车联网云服务与车机端本地服务等角度来看,任何一方都可能会是薄弱点,“一旦出现漏洞,都可能会影响用户与厂商的安全。”
奇安信天工实验室负责人刘跃在接受记者采访时表示,车联网安全目前面临三方面挑战:一是车辆数据安全问题。比如有自动驾驶功能的汽车,具有多种形态的传感器装置,而车辆行驶中获得的数据要受到严格监管;二是车联网安全漏洞问题,如汽车数字钥匙近年来就被曝出多次重大安全漏洞;三是新技术应用安全建设滞后。
从攻击技术的角度来看,车联网安全涉及Web安全、协议安全、无线安全、内核安全、移动端安全等,攻击者通常可以从多个攻击面挖掘漏洞,进而结合车联网框架的一些特性进行漏洞利用,比如实现汽车操控。工信部2021年10月披露的数据显示,已收录车联网安全漏洞信息超过2000条,包括车载智能网关、远程通信等漏洞。
车企安全能力有待提升
相比于日益严峻的车联网安全形势,整车厂商的安全能力仍然滞后。一位信息安全行业人士评价,目前市面上大部分车型在信息安全防护方面水平偏低,车内相关联网部件及控制部件防护可靠性不高,且缺失一定的安全策略,这可能会导致车内敏感信息的泄露或被篡改、车辆行驶中的异常行为,甚至有可能危及人的生命安全。
“目前,车联网安全市场呈现碎片化、界线强等特点,数据难以打通。”上述人士表示,传统互联网安全已经无法应对车联网安全风险,亟需一种包括安全咨询、产品设计、安全开发、安全测试、运营监管等在内的一体化、可持续、闭环生态式的安全保障体系。
亚信安全日前发布的《2022年网络安全发展趋势及十大威胁预测》显示,汽车制造厂商更需要“安全伙伴”。车联网数据在进行采集、传输、存储、使用、迁移、销毁等全生命周期阶段均存在不同性质的安全风险,充分、全面且深入的风险分析是做好风险应对和安全防护的关键。
高曦也认为,车联网上下游企业安全技术参差不齐,部分整车厂商对车联网安全的重要性认识也有待提高。“对车企而言,安全能力是很难一下子就上手的,因为信息安全能力需要相当长时间的经验和沉淀,尤其要动态研究最新的安全威胁并有能力给出解决方案,当然也需要相当大的成本投入。如果不是从底层安全架构、从车联网平台自身安全开始架构和规划,仅采用打补丁的方式解决安全问题并不可取。”
“这就类似说我的产品做好了,然后请你来搭安全防护,在我的产品周边搭篱笆。”高曦说,“如果系统底层做好了就根本不需要这么多篱笆。”只有通讯、存储、认证三大核心安全的“底座”完备了,才能真正具备系统级的安全能力,“车企没有一个系统级的安全底座,可能导致安全架构后期越来越乱,面临新的安全威胁时,头痛医头、脚痛医脚,就像蜘蛛网一样,稳定性也比较差。”最终影响到车企品牌形象、用户体验和社会安全。
对此,孔宪梓也表示,从车联网的历史漏洞来看,不难发现大多数车联网漏洞本质是多个传统漏洞在车联网框架中的组合利用,“所以保护车联网安全更重要的是将安全基础打牢,避免出现短板漏洞。”
多方共建汽车安全体系
面对车联网安全的紧迫形势,业内人士建议,汽车相关产业链应从产品设计之初就将网络安全的考虑纳入产品需求中,并在产品的全生命周期里加入对产品的安全设计、安全研发、安全测试、安全运营。
360集团创始人周鸿祎此前表示:“数据安全、云安全、物联网安全等新技术挑战,以及车联网、工业互联网、智慧城市等新安全场景,这是靠堆砌产品解决不了的风险,是传统网络安全碎片化防御无法应对的挑战。”
高曦则表示,国家对蓬勃发展的车联网非常重视,工信部在加快构建行业网络数据安全管理体系方面持续发力,推动出台了数据安全法、个人信息保护法等法律法规,研究起草了《工业和信息化领域数据安全管理办法(试行)》,2020年就发布了《车联网信息服务数据安全技术要求》,涵盖车联网信息服务过程中的除了用户个人信息以外的所有数据,包括但不仅限于来自车辆、移动智能终端、路边设施和车联网服务平台等载体相关的数据,“产业链上下游应通力协作,做好系统级的安全顶层设计,同时探讨车联网中用户个人信息的数据安全解决方案,最终基于技术要求推动相关标准的出台。”
对此专家建议,应该推动健全合理的漏洞发现、处置与管理机制,加快行业标准制定出台。同时,应建立安全监管责任体系,并将安全责任落实到上线前、运营使用中和事后等生命周期的各个环节。预计未来三年将是国内相关监管法规的集中发布期。
此外,孔宪梓认为,车联网安全水平的提高,一方面需要厂商加强信息安全团队的建设,提升核心基础技术的安全可控能力;另一方面,厂商需要对车联网漏洞持开放与包容态度,发挥广大“白帽子”的力量。此前,一些“白帽子黑客”怕惹事上身,即使发现车联网漏洞也往往不敢报送,未来可以把传统领域已经应用实践效果较好的安全监测预警、应急响应机制,移植到车联网领域中,并且结合车联网环境的特点,更有针对性地做好安全防护与监测。