前几天听朋友提起一个故事,说他单位同事刚刚喜提一辆特斯拉Model Y,第二天欢欢喜喜地开着新车上班,还没等进门,就被保安拦下。问了下原因,保安只说领导这样交代过:“特斯拉不准进入单位大院的停车场”。再多的内容他就不清楚了。朋友讲这个故事时候也大吐槽了一番,觉得非常不理解。
但故事讲到这里,如果我告诉你这位朋友供职于国家直属机关单位,你是不是心里就已经有答案了?
一直以来,特斯拉都被戏称为“移动间谍”。其车身上的摄像头非常之多,不光车内有,车外也有。一旦处在哨兵模式下,车辆即便静止不动,摄像头也会玩命工作,周围发生的一切都会被如实记录。所以如果特斯拉停放在一些涉及国家机密的政要单位内部,可不就成了一台移动监控设备。那引起各部门的安全警惕,也就不意外了。
这些担心绝非是“过度警惕”,因为就在近日,特斯拉前员工爆出猛料称特斯拉汽车用户的隐私随便看,甚至包括马斯克本人的!这则消息引起了一片惊叹。不过放眼整个汽车行业,信息泄露早就不是什么新鲜事了。
还记得去年“名噪一时”的蔚来黑客勒索事件吗?黑客窃取了蔚来的车主信息并向其索要225万美元赎金。就在前不久,相同的戏码再度上演!只不过这一次的主角变成了汽车巨头法拉利。
据海外媒体安莎社近日报道,意大利法拉利汽车公司旗下一家子公司近期遭到勒索软件攻击,包括姓名、地址、电话等客户信息被泄露。不过付款信息、银行账号等更为重要的信息并未被盗取,因此对公司运营未造成影响。
对此,法拉利也表示决不会向勒索者屈服,因为支付此类赎金会为犯罪活动提供资金,反倒会助长黑客继续向他人实施攻击的气焰。
其实蔚来和法拉利的事件并非个例,我们简单整理了一下发现,仅半年时间内,现代、沃尔沃、丰田、宝马、特斯拉、蔚来、奥迪等多家知名汽车企业都曾曝出过多起用户数据泄露事件:
这是一个非常奇怪的现象:无论是普通品牌还是豪华品牌,无论是传统汽车还是智能汽车,似乎都难逃“数据泄露”的魔咒。从卡罗拉到法拉利再到蔚来,汽车行业已经深深陷入其中,无力摆脱。
数据泄露也不仅仅是影响车企和车主本身,更是涉及到国家安全,这也是国内特斯拉车主会被很多单位保安拦下的原因:车辆大范围采集路面、地理位置、建筑布局等基础信息,一旦被其他国家获取,将会造成难以想象的后果。
因此在面对特斯拉车主,保安就一句话:有规定,特斯拉车主不让进!
当下,全球黑客攻击形势严峻,诸如勒索攻击、窃取售卖数据信息、供应链泄密、APT攻击等新闻屡见不鲜。而汽车行业的用户信息主体较为集中,再加之该行业用户价值较高,已然成为了数据泄露的重灾区。
关键原因主要集中在以下几个方面:
不过随着近年来汽车网联化的脚步加快,上述提到的这几个汽车信息安全的问题成为了近年来的行业关注重点。数据泄露可能直接关乎个人隐私安全、社会安全、经济安全乃至国家安全等多个层面的问题,大致可以概括为四类:
相比于传统的汽车车身安全问题,网络安全、数据安全、车辆行驶安全、产业安全等安全问题交织叠加,并且正加速向车联网领域渗透蔓延:以汽车数据为核心的新安全问题日益凸显,汽车数据安全事件频发。
汽车产业发展要想实现智能化的趋势,那数据无疑是路上的重要基石。尤其是汽车智能化程度与日俱增,守好数据安全,不仅关乎用户权益,更关乎行业健康发展。那么为确保车辆、车主乃至整个社会的安全,汽车行业信息安全的行为规范,信息安全维护方式方法以及相关标准法规建设等都必不可少。
面对纷繁复杂的数据环境和越来越丰富的数据内容,车企在构建自身数据安全能力时,应该从以下方面查缺补漏:
不过,由于汽车网络信息安全涉及范围宽泛,所以有一些车企会选择其他的方法以守护信息安全,比如招募一些白帽黑客和安全研究人员,利用他们的力量和知识,实施激励计划,鼓励友好的黑客及时报告其发现的漏洞,使得信息被恶意盗取利用之前完成漏洞的修复。这个方法倒也不失为一个上策。
除了上述的一些维护信息安全的方式方法外,随着新四化在全球范围内持续推进,各国网络安全相关机构也先后出台了各种法规和标准,对车辆的网络信息安全提出了有针对性的要求并明确了验证方法。
汽车信息安全问题,不仅是我国关注的重点问题,而是美、欧等国家和地区乃至全球都均将汽车数据安全作为其数据安全监管的重点对象,部分国家已经出台针对汽车数据安全的规范性文件。比如:
UN R155作为国际首个与汽车网络安全相关强制实施的纲领性法规,一方面为汽车行业构建合规的网络安全架构提供了清晰的指导,另一方面也对智能网联汽车产业的有序发展具有积极意义。
其中,R155合规认证主要分为两部分:
一、网络安全管理体系认证(CSMS,Cyber Security Management System):主要审查车企的信息安全管理系统是否涵盖开发、生产和后生产阶段,以确保汽车全生命周期中都有对应的流程措施,从而保证信息安全设计、实施及响应均有流程体系指导。车企一旦完成这项认证,则意味着其具备覆盖车辆全生命周期的网络安全管控、数据安全保障、安全研发和测试、漏洞和威胁响应等重要安全能力
二、车辆网络安全型式认证(VTA,Vehicle Type Approval):拿到CSMS认证后,车企可对具体车辆进行VTA认证。该认证是针对信息安全开发中具体的工作项进行审查,旨在保证实施于车辆的信息安全防护技术在进行审查认证时足够完备。
R155作为全球第一个汽车信息安全强制法规,适用于《1958年协定书》(联合国于1958年在日内瓦制定了《关于采用统一条件批准机动车辆装备和部件并相互承认此批准的协定书》)下的成员国。目前该协议的缔约方已增加至54个,其中包括所有欧盟国家和其他OECD(经合组织)国家。虽然中国不在名单中,但如果想将生产的汽车销售到这些国家,车辆就就必须符合R155的要求。
因此,近些年在《1958年协定书》成员国有出口业务的车企,对R155并不陌生,甚至将获得这项认证作为了车企出海的一个宣传点。
上汽乘用车获得TÜV南德意志集团颁发的E4 UN R155证书
比如今年4月4日,上汽乘用车就获得TÜV南德意志集团颁发的TÜV全球首张E4 UN R155车辆网络安全管理体系(Cyber Security Management System)认证证书。
奇瑞获得 UN R155、UN R156、CSMS、SUMS证书
今年4月11日,奇瑞同时获得 UN R155(联合国欧洲经济委员会第 155 号法规)车辆网络安全管理体系认证证书(CSMS)、UN R156(联合国欧洲经济委员会第 156 号法规)软件升级管理体系认证证书(SUMS),拿下了打开欧盟市场的关键“通行证”。
从法律层面看,UN R155标准的出台能够帮助智能网联汽车的生产企业和相关机构更好地实现并验证整车信息安全需求。同时,能够合理规避车辆信息安全与数据安全隐患,避免漏洞破解与群体性非法控车。
汽车的智能化,数字化无可厚非会催生更多新问题,从无人车的无人化运营,到非限定路段的自动驾驶测试,再到智能化汽车的不断演变,我们看到科技的变化越来越快,而现行法规与其中的冲突也正变得激烈,法律滞后行业发展的情况越来越普遍。
不过可喜的是,我国对这一新生事物的治理方式采用了试点模式。近年来,我国正在加快制定相关法律法规,保护数据安全。
《安全要求》共计8节15条,规定了对汽车采集数据进行传输、存储和出境等处理活动的安全要求,既为汽车制造商保障汽车数据处理活动安全提供了指引,也为主管监管部门、第三方评估机构等对机车采集数据处理活动的监督、管理和评估提供了参考。
意见中明确,企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。
该法规首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容。《规定》中还要求,默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。
为此,长安汽车去年6月曾发布公告称对长安汽车 App、智慧云控 App、引力域 App 进行功能调整:
长安汽车功能调整声明
调整后 App 中将无法使用的功能包括:远程监控(即手机远程直播功能)、360 全景(即手机车外远程拍照功能)、远程智能泊车。
《指南》明确提出,到2025年,系统形成能够支撑组合驾驶辅助和自动驾驶通用功能的智能网联汽车标准体系。制修订100项以上智能网联汽车相关标准,涵盖组合驾驶辅助、自动驾驶关键系统、网联基础功能及操作系统等标准,并贯穿功能安全、预期功能安全、网络安全和数据安全等安全标准,满足智能网联汽车技术、产业发展和政府管理对标准化的需求。
另外,此前还有消息称强制性国家标准《汽车整车信息安全技术要求》也有望于今年下半年报批。随着强标的出台,加上多条政策法规的不断完善,对于汽车行业来说,意味着一些新的挑战与变化即将到来。
有行业专家认为,虽然智能化、网联化是目前汽车新四化的主要发展方向,但是未来汽车除了要在设计、生产、用户体验等环节下大功夫外,最终的落脚点还是要落到安全性上来。如果汽车的智能化、网联化需要以用户的隐私透明化为代价,汽车企业无法做到对网络数据安全的管理和数据的加密和保护,那么这样的汽车升级是毫无意义的。
根据Upstream Security发布的《2022年全球汽车网络安全报告》,全球联网汽车将从2018年的3.3亿辆增长到2023年的7.75亿辆,增幅达134%,可以预见在这个过程中,汽车行业未来将受到的网络攻击规模、频率和复杂程度都将呈指数级增长。
截图来自《2022年全球汽车网络安全报告》
因此长远来看,汽车网络安全发展将成为必然趋势。如何应对日益复杂化的安全漏洞,以及智能信息收集手段带来的安全风险将成为汽车制造商和汽车运营商迫切解决的问题。
最后值得一提的是,此前J.D. Power发布的调查报告显示,超过九成受访消费者会有倾向性地选择注重数据安全和保护个人敏感信息的汽车品牌。这意味着,随着智能汽车的不断普及,数据安全已然成为一个影响消费者买车决策的重要因素,在数据安全和个人隐私保护方面做得更好的车企,或将赢得新的竞争优势。
参考链接: