【TMT前言】
文/光明網(wǎng)記者 李政葳
“電影《速度與激情8》有這樣的情節(jié),網(wǎng)絡恐怖分子攻擊周邊幾公里范圍內(nèi)的汽車,把這些受遙控的‘僵尸車’作為攻擊武器……”理想汽車車聯(lián)網(wǎng)安全負責人董威講述的這個情節(jié)看似科幻,但已現(xiàn)實存在了,尤其在智能網(wǎng)聯(lián)汽車加速發(fā)展的當下。
早在2015年,克萊斯勒的JEEP車型娛樂芯片漏洞就曾被黑客遠程攻破;2016年,特斯拉車載系統(tǒng)遭無接觸遠程破解,黑客可以在車輛行駛過程中打開汽車后備箱甚至讓車輛突然剎車。如今,在碰撞、盜竊等傳統(tǒng)風險之外,汽車的新風險隱患正在醞釀。
“車聯(lián)網(wǎng)作為汽車、電子、信息等深度融合的新興產(chǎn)業(yè)生態(tài),正在加速融入人們的日常生活,在給人們帶來便利的同時,也讓網(wǎng)絡安全面臨新的挑戰(zhàn)?!痹诮张e行的一場“TechWorld2021綠盟科技技術(shù)嘉年華”現(xiàn)場,記者遇到了理想汽車車聯(lián)網(wǎng)安全負責人董威,并在臺下聆聽了他的一場有關“車聯(lián)網(wǎng)信息安全挑戰(zhàn)與思考”的分享。
回顧汽車安防技術(shù)的發(fā)展史,長期以來主要圍繞防盜技術(shù)進行升級。然而,伴隨汽車工業(yè)與信息產(chǎn)業(yè)融合發(fā)展,尤其是5G、智能網(wǎng)聯(lián)技術(shù)等帶來一系列新應用場景,網(wǎng)絡、藍牙、WIFI、USB等對外連接,都成為黑客眼里“脆弱的窗口”。汽車安防早已超越傳統(tǒng)意義概念,向電腦和網(wǎng)絡防火墻的作用進化,防止汽車被遠程劫持、被遠程監(jiān)聽監(jiān)視、被云上攻擊造成大規(guī)模信息泄露等成為防守重點。
知名汽車網(wǎng)絡安全公司Upstream Security發(fā)布的2020年《汽車網(wǎng)絡安全報告》顯示,自2016年至2020年1月,汽車網(wǎng)絡安全事件的數(shù)量增長了605%,僅2019年一年就增長了一倍以上。過去十年,前三大攻擊媒介分別是無鑰匙進入系統(tǒng)(30%)、后端服務器(27%)和移動應用程序(13%);安全事件造成的后果位列前三的分別是汽車盜竊/入侵(31%)、對汽車系統(tǒng)的控制(27%),以及數(shù)據(jù)/隱私泄露(23%)。
“作為網(wǎng)絡安全核心發(fā)力的新賽道,車聯(lián)網(wǎng)面臨未授權(quán)的訪問切片、信任風暴、網(wǎng)源日常響應等風險問題。詐騙檢測模型、數(shù)據(jù)收集、組織分析及持續(xù)運營,都是亟需拓展的網(wǎng)絡安全新方向。”綠盟科技集團首席技術(shù)官葉曉虎同樣深有感觸。很多時候,車聯(lián)網(wǎng)若遭受安全攻擊,輕則泄露出行軌跡、習慣、語音、視頻等個人隱私,重則釀成車毀人亡的慘劇,甚至被控制的汽車可能成為犯罪分子的工具。
因此,我們在暢想智能網(wǎng)聯(lián)汽車帶來的各種便捷時,必須要未雨綢繆,構(gòu)筑好守護汽車網(wǎng)聯(lián)安全的防火墻,打破“越智能越危險”的魔咒?!爸悄芫W(wǎng)聯(lián)汽車攻擊面擴大,網(wǎng)聯(lián)功能需求涌現(xiàn),安全防護急需前置設計?!闭劶靶袠I(yè)困境,在董威看來,與很多行業(yè)現(xiàn)狀類似,人才培養(yǎng)缺陷成為通病?!白鳛橹悄芫W(wǎng)聯(lián)、數(shù)據(jù)安全、信息安全的重疊產(chǎn)業(yè),汽車行業(yè)的信息安全人才稀缺,安全團隊組建并沒有想象中那么容易?!倍f。
另外,車企業(yè)務體系復雜,涉及眾多的崗位層級與職能角色,難以建立統(tǒng)一的信息安全管理組織架構(gòu);行業(yè)缺乏相關實踐積累,車企尚在各自艱難摸索,制度流程難落實。以上種種,董威認為都是影響行業(yè)發(fā)展的關鍵因素。
有業(yè)界人士曾打過這樣的比方,“智能網(wǎng)聯(lián)車是有四個輪子的智能手機”。事實上,車聯(lián)網(wǎng)安全是功能安全與信息安全的融合。今年4月份發(fā)生的上海車展維權(quán)事件,引發(fā)的有關智能網(wǎng)聯(lián)車的數(shù)據(jù)權(quán)利和真實性的爭議來看,數(shù)據(jù)安全已經(jīng)成為汽車行業(yè)關注的重點問題。
“數(shù)據(jù)資產(chǎn)散亂不清、數(shù)據(jù)資產(chǎn)管理權(quán)責不明、敏感數(shù)據(jù)信息分布情況不清楚、多數(shù)據(jù)庫接口未統(tǒng)一管理導致數(shù)據(jù)動態(tài)監(jiān)控難實施等,引發(fā)數(shù)據(jù)安全技術(shù)及平臺工具應用條件受限,安全管控難成體系?!倍f。
萬物互聯(lián)時代,如何做好車聯(lián)網(wǎng)安全?董威認為,面對外部嚴峻的安全形勢和內(nèi)部不斷涌現(xiàn)的安全強需求,要從人員能力、組織建設、制度流程、技術(shù)工具等維度,進行車聯(lián)網(wǎng)產(chǎn)品信息安全和數(shù)據(jù)安全的全生命周期能力建設,構(gòu)建體系化的安全管控平臺;無論是整車企業(yè)、零部件供應商,還是安全服務供應商,都要從技術(shù)路線、法律符合性、場景兼容性、業(yè)務上下游、設計驗證等角度,進行全方位車聯(lián)網(wǎng)安全管理。
“行業(yè)發(fā)展要跨過整車安全單點防護階段,緊密結(jié)合全場景、可信任、實戰(zhàn)化要素,進入體系化、標準化建設階段?!比~曉虎表示,安全防護產(chǎn)品應基于車聯(lián)網(wǎng)不同車型內(nèi)部系統(tǒng)區(qū)別較大的特性,開發(fā)SDK(軟件開發(fā)工具包)安全能力并嵌入不同的車內(nèi)系統(tǒng),以較好的擴展性保障車聯(lián)網(wǎng)安全。
董威也期待,國家監(jiān)管部門細化行業(yè)監(jiān)督管理要求,推進行業(yè)細則出臺,減少監(jiān)管和規(guī)范多范圍并行推進的情況,使得車企能夠聚焦能力體系的建設及問題解決;推進制定數(shù)據(jù)安全建設實施指南,建議讓行業(yè)監(jiān)管機構(gòu)牽頭,整車企業(yè)、互聯(lián)網(wǎng)代表企業(yè)、安全公司共同參與。