车企上云,数据的合规使用和安全防范将是重中之重!
严格意义上来说,汽车数字化的基础是各种数据集成,数据集成所被表现出来的,则是软件的大量应用。而车内的车机系统、智能驾驶座舱、自动驾驶功能等,都是汽车数字化的具体呈现,同时也是车内最容易出现网络安全漏洞的部分。一旦这些部分出现网络安全问题,将会对用户造成比较严重的影响。
相比智能手机,汽车数据网络安全问题给人带来的威胁以及损失更大,这也注定车企需要花费更多的精力来投入到车上数据网络安全的建设。
近日,腾讯智慧出行与汽车之心联合策划了「行者有云」系列沙龙第二期《车企上云,如何构筑云上安全防线》正式播出。本期沙龙邀请了上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全实验室联合负责人陈宁,以及腾讯安全策略发展中心总经理吕一平。此次沙龙主要围绕数据安全和风险防御问题,共同探讨了车企在系列新规背景下,将采用怎样的新手段、新模式来保证数据的合理开发利用,并有效防范潜在网络安全风险。
3 类数据、5 方面举措车企需合规使用数据
在智能网联汽车发展早期阶段,数据的收集和应用,并没有明确的相关法律法规进行规定,相比于被强制监管数十年的金融领域,汽车数据安全防护还是“新兵”。去年 8 月,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》,自 2021 年 10 月 1 日开始实施。与汽车数据安全法前后发布的法规,还有《个人信息保护法》《数据安全法》等,多项关于数据的法规密集发布,都让车企们意识到,数据合法合规使用,是必然趋势。
毕竟,智能汽车每天收集到的数据非常庞大,除驾驶员的个人信息数据之外,更重要的一点是,智能网联汽车的传感器能够实时收集到高精度地图数据,这涉及到很多敏感的地理位置信息。因此,车企想要合法合规使用数据,首先需要对这些数据进行分类。
腾讯安全策略发展中心总经理吕一平
对此,吕一平认为汽车行业主要有 3 大类数据比较重要:
汽车研发过程中车辆状态的相关数据,这一类数据一直被车企所收集,并留作自用。与用户相关的隐私数据,当前国家有明确的法律法规要求车企对这类数据进行保护,并对不同的使用场景,对数据要进行明确的分类分级,并依据法规使用用户隐私相关数据。敏感数据的使用,比如传感器收集到的地理位置数据、高精度地图数据,这一块主要涉到国家安全部分,是车企需要非常关注的点。数据分类分级之后,则是数据的合规使用问题。
海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全实验室联合负责人陈宁
对此,陈宁根据目前的相关法规,总结了 5 方面举措:
在使用数据前,车企的相关车辆应用服务必须要通过等保测评,并建立起相关的网络安全或数据安全的配套防护措施和防范的管理体系。当前法规明确要求,默认车企不得收集用户上车数据,如果需要收集,则必须告知用户,以及需要收集的数据信息。在收集数据状态中,让用户知道正在收集其数据,如果有些信息用户不希望被收集,则需要允许用户进行屏蔽。
车企要尽量将车内敏感数据模糊化处理,防止通过数据清晰定义用户的情况出现。在数据流通和共享上,按照数据安全法和汽车数据安全法相关规定,车企每年 12 月份要上报数据安全报告。同时,汽车在向海外发展的过程中,如果数据要向境外输出,则需要经过相关评审。建立数据的分级分类,并合法合规使用,仅仅是建立数据安全防护的基础。在分级分类防护数据之后,更为重要的是,车企要建立针对网络安全问题的应对和响应机制,以及相对应的处理技术能力。
此前,传统的汽车产业中,如果汽车出现了某些安全问题,车企一般都会通过召回的方式解决这些问题,但召回的周期很长,很难适应网络安全问题的节奏变化。
陈宁表示:“如果车企能够建立起针对网络安全问题的 48 小时之内的安全补丁或修复能力,这将是未来车企很大的竞争力。”
加大研发投入车企要加速建立网络安全防护体系
不过,现阶段车企针对汽车数据网络安全防护仍处于探索初期,其想要逐渐构建自己的安全防护网络体系,将是一个相当漫长的过程。
一方面,数据安全仅仅是车企网络安全建设中一部分内容,想要做好数据安全,车企还要打好很多地基工作。如云上安全,技术架构安全等,还包括很多相关网络安全建设,如云上的边界防护、安全监测、网络安全的漏洞或者网络安全响应的能力等。另一方面,人才问题也是影响汽车网络安全建设进程的一个重要因素。陈宁表示,在网络安全领域,中国高校每年输送的毕业生大概是 10 万人左右,但自去年开始,出现非常大的缺口,未来的趋势也是缺口逐渐变大,相对应的,涉及到汽车网络安全的人才缺口,将会更大。
虽然汽车数据网络安全建设是一个长周期的持续投入,但在当前各项法规要求的倒逼下,车企也应该逐渐加快自身在网络安全防护体系的建设。
从车企本身汽车网络安全建设进程来说,陈宁以上汽为例,阐述了上汽的汽车产品从研发,到生产,再到交付以及交付之后的相关防御措施。在汽车投产之前,对于产品的零件或者整车,会在技术和流程上,从安全设计、渗透测试、投产运营等方面做一系列的测试研发。针对车内安全网络防护,上汽现阶段所建立的防御体系主要是从云管边端逐层防护,同时,传统云驱动安全内容也适用于当下。
通道方面,则主要是从云端到车端的通讯链路,用加密方法进行加密,确保上汽的链路不会被截断或者被中间人截取掉。同时,上汽也对车与车之间进行传输的信息给予加密保护,保证数据的安全性和唯一性。在车辆交付之后,上汽也会建立相关的防御措施,比如网关或者 IDPS 等,通过它将车辆相关的模块或者相关的服务隔开,确保车辆在行驶过程中关键通信和关键指令不会被人恶意篡改掉。
除了车企本身的自我网络安全防护体系建设外,车企也会寻求外部网络安全公司的合作。其中,腾讯一直是将自己定位为汽车行业助手的角色,助力汽车行业在安全方面形成自身的能力。
腾讯在与车企的合作过程中,主要为车企提供 4 方面的能力,帮助车企构建数据网络安全:
腾讯云助力车企云上安全,帮助车企在云服务端构建安全防护体系,形成有效的安全防护能力。
针对车端存在的 security 和 safety 风险问题,腾讯具备研发和测试等合规的品牌和工具,助力车企在这方面的能力建设。在数字化营销场景下可能存在的“黑产”问题,腾讯可以提供相对应的解决方案,保证车企在营销过程中更好的触达用户,大大降低”黑产”薅羊毛的机率。而腾讯能够通过自身能力帮助车企对数据进行分类分级,界定清楚各类数据的重要性,并在此基础上助力车企构建数据安全保护方案。
在实际的合作案例中,此前腾讯已经与上汽组建了联合实验室,上汽在设计了相关防御测试后,需要建立自己的验证和测试体系。而腾讯则参与到了上汽部分车辆中智能座舱的设计和规划工作,在设计和研发早期,基于安全防护方面的能力,助力上汽产品的研发。
前文也有所言,在数字化网络安全防护方面,汽车行业还是“新兵”,车企虽然逐渐在加强对这方面的重视,但目前仍是处于早期投入阶段。吕一平表示,在金融行业,一般在网络安全方面的研发投入可能是在 6%-8% 之间,而当前汽车行业的投入则普遍在 2% 左右。
事实上,从法规密集发布情况来看,网络安全给汽车行业做响应时间并不多了。如果车企不能够加快节奏,逐渐提高在该领域的研发投入,极有可能面临着极大的风险,一旦出现大规模的网络安全事件,则将是对整个行业的重大打击。
