当车开始成为“聪明的车”,随之而来的数据安全问题也浮出水面。
根据工信部车联网动态监测情况显示,2020 年以来发现的针对整车企业、车联网信息服务提供商等相关企业的恶意攻击达到 280 余万次。2023 年初至今,就发生超过 20 起与车企相关数据泄露事件。
汽车数据安全的现状已不容乐观。
数据安全问题不容忽视
随着汽车产业向“新四化”方向转型,数据不仅是最重要的生产要素,也是车企在竞争中制胜的关键一环。
如今,每⼀辆带有智能⽹联功能的汽⻋都配备了⼤量的传感设备,收集了海量的⻋辆数据、⽤户数据、环境数据等。上汽集团董事⻓陈虹曾根据相关研究机构数据估算,⼀辆⾃动驾驶测试⻋辆每天产⽣的数据量最⾼可达 10TB。
不仅如此,随着近年来 L2 辅助驾驶在乘用车上渗透率不断提高,产生的数据还将进一步激增。有预测数据显示,2025 年 L2 级辅助驾驶乘用车每年上传云端数据量将超 7 万 PB。
智能网联汽车也在改变车企与用户关系的连接。车辆在卖给用户之后,用户和车企的云端服务器保持连接,车辆和用户的相关数据会不断上传到车企,同时车企就可以基于这些数据、通过在线升级来不断更新车辆。
从消费端来看,“数据安全”也正在成为影响购置智能汽⻋的决策因素之⼀。2023 年⼴州⻋展前夕,《⼴州⽇报》的⼀项调研结果显示,43% 的⽤户会把信息安全/隐私安全纳⼊了购⻋的⾸要考虑因素。
车百智库认为,汽车智能化、网联化打开了原有车内域、车间域、交通域、车云域的边界,打破了汽车控制系统原有的封闭生态,因此汽车数据安全不仅仅存在于车端,是面临来自“云-管-端”三方面的安全风险。
“一旦这些数据发生危险,由此造成的危害远比电脑病毒要大得多。”360 公司创始人、董事长兼 CEO 周鸿祎曾说道。
有统计数据显示,过去 5 年,全球汽车行业因网络攻击造成的损失超 5000 亿美元。现实案例中,因数据泄露而陷入被动局面的车企并不在少数。
- 2022 年 12 月,蔚来就曾因内部数据(被窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息)泄露被勒索 225 万美元等额比特币(约合 1570.5 万元人民币)。
- 2023 年 3 月,因缺乏防盗装置导致汽车盗窃案激增,韩国汽车制造商现代、起亚汽车等车企被提起诉讼。
- 2023 年 5 月,因云平台设置错误,丰田汽车泄露约 215 万用户的车辆数据。
- 2023 年 11 月,由于一家汽车供应商受到网络攻击,Stellantis 集团运营被干扰,导致克莱斯勒、道奇、吉普和公羊等车型的生产受到影响。
事实上,汽车数据安全不仅仅存在于车端,而是覆盖整个汽车产业链条,汽车全生命周期数据包括设计开发、生产制造、物流运输、整车使用、整车批发、整车零售、出行服务、金融保险、维修保养、报废回收等各个方面。
即使是电池这一模块,其也存在数据安全问题。据央广网报道,2023 年 9 月,有不法分子采用技术手段将新能源车健康电池组的数据非法写入故障电池组中,从而绕开后台锁定功能,使故障电池组得以重新充电上路,造成极大道路安全隐患。
可以看到,在汽车产业转型之下,汽车数据激增的同时,其可能遭受的攻击面更广、攻击点也更多。
“数据安全带”亟需扎紧
需要指出的是,车企并非不重视数据保护。
在中国电动汽车百人会联合腾讯云历时 3 个月,调研了十余家汽车主机厂商及安全厂商,从边界安全、端点安全、应用开发安全、安全运营、数据安全治理几个维度上进行考察,发布的《智能网联汽车数据安全年度洞察(2023)-企业免疫力建设》报告(以下简称“报告”)中,梳理了车企共同面临的挑战。
调研发现,在监管要求和安全事件双重驱动下,多数车企已经形成相对成熟的数据安全管理体系,80% 以上整车企业都自建数据安全团队,并配备足够安全人员,形成与企业业务线并行的管理链路。
但在实际应用中,由于数据遍布企业研发、生产和流通的各个环节,且面临来自外部黑客攻击、第三方数据交换、内部舞弊等各个方面的风险,数据的有效治理面临不小的挑战,包括数据分类分级、数据加解密、防泄露等。
车企对数据保护“心有余而力不足”的问题关键在于,智能汽车的数据安全问题已经演变成行业普遍问题,需要全行业来共同解决。
去年两会期间,全国人大代表,小米集团创始人、董事长兼 CEO 雷军就曾针对“构建完善汽车数据安全管理体系”提出具体建议。
在汽车数据安全管理体系方面,雷军认为智能网联汽车作为车轮上的数据中心,其承载的行驶轨迹、生物特征等敏感个人信息,以及地理信息、车外影像等,既是数字经济发展的重要要素资产,也给个人隐私、国家公共利益与安全带来了挑战。
为此雷军建议,由主管部门牵头,定义汽车数据分类分级规则,加快制定围绕汽车生命周期和数据生命周期两条主线的数据安全标准,指导产业发展。同时建立智能网联汽车数据安全认证制度、数据安全评级及公示制度,提升行业透明度与可信度。
事实上,近年来关于汽车数据安全监管正在增强,2021 年 10 ⽉ 1 ⽇,《汽⻋数据安全管理若⼲规定(试⾏)》正式施⾏;2022 年 2 ⽉,⼯信部下发了《⻋联⽹⽹络安全和数据安全标准体系建设指南》;2023 年 7 ⽉,《汽⻋整⻋信息安全技术要求》等四项“强标”也完成征集意⻅稿,即将正式发布。
但产业的发展加速了数据安全问题的滋生。腾讯云安全总经理李滨认为,对数据的保护应该是企业所有安全工作的价值原点,而要实现数据的保护,车企需要从边界、端点、应用开发、安全运营、数据安全治理等各个维度建立起全面、主动的数字安全免疫力。
基于此,《报告》对于 2024 年汽车数据安全的变量作出了几个关键判断:监管要求会随着合规下沉、防护技术提升、企业合作模式转变进行动态调整、发展与安全的平衡是主旋律。同时,以大模型为代表的 AI 技术创新不可避免会带来新的数据安全风险,需要提前进行防范和布局。
针对上述的判断,《报告》从法规、标准、平台机制多个角度提出了 6 条建议,包括完善数据分类分级指导要求;加强上下游协同,强化供应链安全管理;加快防护技术验证及标准制定,提升整车数据与网络安全防护能力;加强数据安全配套服务供给;通过试点开展数据安全实践;引导企业变被动为主动,加强数据安全合规。
可以看到,在汽车走向电动化、智能化之时,数据安全尤为重要,其不仅涉及用户隐私保护,还涉及到财产安全,人身安全以及社会公共安全,一旦车辆数据泄露或被远程控制,将严重危害用户人身和财产安全。
如何加强用户数据安全以及车辆数据安全的保护,无论在技术层面还是企业文化与价值观层面,对汽车行业链条各端的从业者来说,都是一节长期的必修课。
(本文首发钛媒体App,作者 | 肖漫,编辑 | 张敏)
根据《网络安全法》实名制要求,请绑定手机号后发表评论
数据安全已经成为影响消费者购买智能汽车的重要因素之一
建立完善的数据安全管理制度和标准非常重要
智能网联汽车的数据安全问题不容忽视
车企应该重视并加强数据安全保护。
应该加强监管和保护措施