车东西(公众号:chedongxi)
作者 | 明成
编辑 | 志豪
车东西1月18日消息,日前,中国电动汽车百人会联合腾讯云发布《智能网联汽车数据安全年度洞察(2023)-企业免疫力建设》报告(以下简称“报告”),对汽车行业在边界安全、端点安全、应用开发安全、安全运营、数据安全治理几个维度上进行了考察,梳理了车企共同面临的挑战以及部分领域的最佳实践,为汽车行业数据安全水平的规范发展提供了重要参考依据。
报告指出,车企在边界安全、端点安全、安全运营上已初步建立管理和防护体系,而在数据安全治理和应用开发安全上仍有较大的提升空间。监管对企业研发、生产等数据的分类分级未提出明确要求,导致重要数据划定和识别与部分具体业务的贴合度不高。
受到汽车数据安全需求驱动,云厂商、传统老牌安全厂商均开始布局汽车信息安全相关业务,专注于汽车安全领域的初创企业也持续涌现。汽车产业作为国民经济的重要支柱产业,产业链长、关联度高、带动性强,未来,在汽车大数据产业发展的带动下,汽车安全防护有望处于安全技术产业的领跑位置。
中国电动汽车百人会副秘书长师建华表示:“汽车数据安全是汽车行业与信息安全行业交叉融合的又一新领域。百人会联合腾讯云,围绕行业进展与企业实践进行研究,以期为企业数据安全管理提供指导,也能持续推动解决汽车数据安全管理衍生的一系列新问题。”
一、数据量大幅增加 安全问题涌现
越来越多的乘用车正在成为“聪明车”,加快进入市场。工业和信息化部数据显示,今年上半年,具备组合驾驶辅助功能的乘用车新车销量占比达42.4%,比去年同期增长近10个百分点。传统老牌车企、“蔚小理”等新势力之外,今年华为、小米等科技巨头也悉数下场,为汽车行业注入更多互联网和科技色彩。
与产业高速发展伴随而来的是,汽车的数据安全也成为智能网联汽车发展道路上的核心问题。现在,每一辆带有智能网联功能的汽车都配备了大量的传感设备,收集了海量的车辆数据、用户数据、环境数据等。上汽集团董事长陈虹根据相关研究机构数据估算,一辆自动驾驶测试车辆每天产生的数据量最高可达10TB。
▲发布会现场图片
2021年10月1日,《汽车数据安全管理若干规定(试行)》正式施行;2022年2月,工信部下发《车联网网络安全和数据安全标准体系建设指南》;2023年7月,《汽车整车信息安全技术要求》等四项“强标”也完成征集意见稿,即将进入正式发布。
“数据安全”也正在成为影响购置智能汽车的决策因素之一。2023年广州国际车展前夕,《广州日报》发起了一项调研,显示43%的用户会把信息安全/隐私安全纳入了购车的首要考虑因素。在消费者的习惯变迁前,有车企喊出了“隐私是最大的豪华”的主张。在加速交通智能化、网联化和绿色化发展的同时,保护汽车数据安全,需要产学研各界扎紧“安全带”。
在这样的背景下,电动汽车百人会联合腾讯安全联合发起《智能网联汽车数据安全年度洞察(2023)-企业免疫力建设》调研,前后历时3个月,调研了十余家汽车主机厂商及安全厂商,对汽车行业在边界安全、端点安全、应用开发安全、安全运营、数据安全治理几个维度上进行了考察,梳理了车企共同面临的挑战以及部分领域的最佳实践,为汽车行业安全水平的规范发展提供了重要参考依据。
二、汽车数据保护初见成效 但仍面临挑战
根据工信部车联网动态监测情况显示,2020年以来发现的针对整车企业、车联网信息服务提供商等相关企业的恶意攻击达到280余万次。2023年初至今,就发生超过20起与车企相关数据泄露事件,汽车数据安全的现状不容乐观。
调研发现,在监管要求和安全事件双重驱动下,多数车企已经形成相对成熟的数据安全管理体系,80%以上整车企业都自建数据安全团队,并配备足够安全人员,形成与企业业务线并行的管理链路。但数据遍布企业研发、生产和流通的各个环节,且面临来自外部黑客攻击、第三方数据交换、内部舞弊等各个方面的风险,数据的有效治理面临不小的挑战。“我们也在期待有更多数据治理最佳实践可以参考。”调研中,有车企的数据安全负责人表示。
腾讯云安全总经理李滨认为,对数据的保护应该是企业所有安全工作的价值原点,而要实现数据的保护,车企需要从边界、端点、应用开发、安全运营、数据安全治理等各个维度建立起全面、主动的数字安全免疫力。《报告》对数家车企对自身在这五个方向上的安全现状做了详细的定量和定性分析,结果显示,车企在车端安全上普遍达到了较高水位,而在数据安全治理(数据分类分级、数据加解密、防泄露等)上则面临较大的挑战。
▲不同企业安全免疫力评估
这些挑战来自监管压力、技术成熟度等各个方面。例如,在法规层面,有车企表示汽车数据监管更多聚焦在车和人相关的部分,监管对企业研发、生产等数据的分类分级未提出明确要求,不同部门或业务团队可能会使用不同的数据定义、收集和存储方法,导致数据一致性差、准确度低,进而降低企业数据治理效率,影响业务决策准确性。
在技术层面,由于汽车是“高速行驶中的智能设备”,对于时延、性能等指标有极高要求,现行的数据加密方案往往无法兼容加密和性能损耗的矛盾;一些具备阻断能力的安全产品,也因为准确性有待提高,目前也尚不具备应用条件。“现行智能车端上普遍都配备有IDPS(威胁检测与响应),但多数是在检测阶段,防护据我们所知目前还没有车企启用,因为安全策略的下发有可能影响到行车安全。但未来这个一定是有应用空间的。”在调研中,一家车企安全相关负责人表示。
三、六大对策 汽车数据安全需要产业共建
《报告》对于2024年汽车数据安全的变量作出了几个关键判断:监管要求会随着合规下沉、防护技术提升、企业合作模式转变进行动态调整、发展与安全的平衡是主旋律。同时,以大模型为代表的AI技术创新不可避免会带来新的数据安全风险,需要提前进行防范和布局。
智能汽车的数据安全问题已经演变成行业普遍问题,需要全行业来共同解决。尽管面临诸多挑战,但《报告》认为,随着法律框架不断完善,车企在数据安全组织制度、专业人员配备上都已初步完善,第三方专业汽车数据安全解决方案厂商不断涌现,汽车构建数据安全免疫力已具备完备的产业基础,并从法规、标准、平台机制多个角度提出了6条建议:
一,完善数据分类分级指导要求;二,加强上下游协同,强化供应链安全管理;三,加快防护技术验证及标准制定,提升整车数据与网络安全防护能力;四,加强数据安全配套服务供给;五,通过试点开展数据安全实践;六,引导企业变被动为主动,加强数据安全合规。
▲提高企业数据安全免疫力的建议
报告指出,智能汽车技术复杂度越来越高,车企难以依靠自身的力量解决日益复杂的数据安全问题,借助专业的安全厂商的技术和经验能够快速解决企业面临的技术问题。与安全厂商合作共建,可以降低车企在数据安全建设方面的成本。
当前,车、路、云、网、图协同发展,信息安全更逐渐成为智能汽车发展的决胜关键。数据安全、车端安全正成为影响消费者购车决策的重要因子,也是车企智能化竞争新的分水岭。汽车是国民经济支柱产业,规范汽车数据安全、促进汽车产业又快又好地实现数字化转型,将有效拉动产业高质量发展。
结语:汽车行业安全水平稳步提升
汽车数据安全是汽车行业与信息安全行业交叉融合的又一新领域,本次《智能网联汽车数据安全年度洞察(2023)-企业免疫力建设》报告体现了产学研各界对汽车数据安全的关注。报告也提出了数据安全面临的挑战和解法,对汽车行业数据安全具有建设性作用。
未来,在车企、学界、相关企业不断进步的安全意识和不断发展的安全实践中,汽车行业的安全水平将进一步提升。