隨著新一代資訊通信技術在交通領域落地,尤其是車聯網的加快應用,車與車、車與路、車與人、車與網路之間數字化連結程度將越來越高,隨之而來的安全風險也在增大,這對車輛資訊和數字安全産生了更高的要求。
專家認為,汽車製造廠商需要第三方企業作為“安全夥伴”,更需要將系統和平臺安全“底座”打牢。汽車産業鏈應從産品設計之初就將網路安全考慮納入産品需求中,形成一體化、可持續、閉環生態式的安全保障體系,並貫穿産品的全生命週期,未來這一領域市場機會將逐漸顯現。
車聯網安全不容樂觀
近期發佈的《“十四五”現代綜合交通運輸體系發展規劃》(下稱《規劃》)提出,推動新技術與交通行業深度融合,穩妥發展自動駕駛和車路協同等出行服務,鼓勵自動駕駛在港口、物流園區等限定區域測試應用,推動發展智慧公交、智慧停車、智慧安檢等。
車聯網發展仍在加速,但業內人士普遍認為,目前車聯網安全整體水準仍處於“爬坡提升”階段。北信源副總裁高曦對記者表示,車聯網安全形勢不能用樂觀來形容,“目前公眾關注的安全事件大部分局限在自動駕駛安全上,這類事件雖然更容易引發媒體和公眾的關注和探討,但駕駛安全僅是總體安全的一部分,用戶在汽車全生命週期中會産生大量各種各樣的數據,就車聯網而言,數據安全層面需要引起重視。”
“車聯網技術早期偏向業務探索,安全水準較為薄弱,所以曝出很多車聯網安全漏洞,前些年一些安全研究員甚至可以無接觸操控特斯拉汽車。”奇安信車聯網安全專家孔憲梓介紹,車聯網安全存在“短板效應”,從軟體供應鏈、用戶側手機應用、車聯網雲服務與車機端本地服務等角度來看,任何一方都可能會是薄弱點,“一旦出現漏洞,都可能會影響用戶與廠商的安全。”
奇安信天工實驗室負責人劉躍在接受記者採訪時表示,車聯網安全目前面臨三方面挑戰:一是車輛數據安全問題。比如有自動駕駛功能的汽車,具有多種形態的感測器裝置,而車輛行駛中獲得的數據要受到嚴格監管;二是車聯網安全漏洞問題,如汽車數字鑰匙近年來就被曝出多次重大安全漏洞;三是新技術應用安全建設滯後。
從攻擊技術的角度來看,車聯網安全涉及Web安全、協議安全、無線安全、內核安全、移動端安全等,攻擊者通常可以從多個攻擊面挖掘漏洞,進而結合車聯網框架的一些特性進行漏洞利用,比如實現汽車操控。工信部2021年10月披露的數據顯示,已收錄車聯網安全漏洞資訊超過2000條,包括車載智慧網關、遠端通信等漏洞。
車企安全能力有待提升
相比于日益嚴峻的車聯網安全形勢,整車廠商的安全能力仍然滯後。一位資訊安全行業人士評價,目前市面上大部分車型在資訊安全防護方面水準偏低,車內相關聯網部件及控制部件防護可靠性不高,且缺失一定的安全策略,這可能會導致車內敏感資訊的洩露或被篡改、車輛行駛中的異常行為,甚至有可能危及人的生命安全。
“目前,車聯網安全市場呈現碎片化、界線強等特點,數據難以打通。”上述人士表示,傳統網際網路安全已經無法應對車聯網安全風險,亟需一種包括安全諮詢、産品設計、安全開發、安全測試、運營監管等在內的一體化、可持續、閉環生態式的安全保障體系。
亞信安全日前發佈的《2022年網路安全發展趨勢及十大威脅預測》顯示,汽車製造廠商更需要“安全夥伴”。車聯網數據在進行採集、傳輸、存儲、使用、遷移、銷毀等全生命週期階段均存在不同性質的安全風險,充分、全面且深入的風險分析是做好風險應對和安全防護的關鍵。
高曦也認為,車聯網上下游企業安全技術參差不齊,部分整車廠商對車聯網安全的重要性認識也有待提高。“對車企而言,安全能力是很難‘一下子就上手’的,因為資訊安全能力需要相當長時間的經驗和沉澱,尤其要動態研究最新的安全威脅並有能力給出解決方案,當然也需要相當大的成本投入。如果不是從底層安全架構、從車聯網平臺自身安全開始架構和規劃,僅採用‘打補丁’的方式解決安全問題並不可取。”
“這就類似説我的産品做好了,然後請你來搭安全防護,在我的産品周邊‘搭籬笆’。”高曦説,“如果系統底層做好了就根本不需要這麼多‘籬笆’。”只有通訊、存儲、認證三大核心安全的“底座”完備了,才能真正具備系統級的安全能力,“車企沒有一個系統級的安全‘底座’,可能導致安全架構後期越來越亂,面臨新的安全威脅時,頭痛醫頭、腳痛醫腳,就像蜘蛛網一樣,穩定性也比較差。”最終影響到車企品牌形象、用戶體驗和社會安全。
對此,孔憲梓也表示,從車聯網的歷史漏洞來看,不難發現大多數車聯網漏洞本質是多個傳統漏洞在車聯網框架中的組合利用,“所以保護車聯網安全更重要的是將安全基礎打牢,避免出現短板漏洞。”
多方共建汽車安全體系
面對車聯網安全的緊迫形勢,業內人士建議,汽車相關産業鏈應從産品設計之初就將網路安全的考慮納入産品需求中,並在産品的全生命週期里加入對産品的安全設計、安全研發、安全測試、安全運營。
360集團創始人周鴻祎此前表示:“數據安全、雲安全、物聯網安全等新技術挑戰,以及車聯網、工業網際網路、智慧城市等新安全場景,這是靠堆砌産品解決不了的風險,是傳統網路安全碎片化防禦無法應對的挑戰。”
高曦則表示,國家對蓬勃發展的車聯網非常重視,工信部在加快構建行業網路數據安全管理體系方面持續發力,推動出臺了《數據安全法》《個人資訊保護法》等法律法規,研究起草了《工業和資訊化領域數據安全管理辦法(試行)》,2020年就發佈了《車聯網資訊服務數據安全技術要求》,涵蓋車聯網資訊服務過程中的除了用戶個人資訊以外的所有數據,包括但不僅限于來自車輛、移動智慧終端、路邊設施和車聯網服務平臺等載體相關的數據,“産業鏈上下游應通力協作,做好系統級的安全頂層設計,同時探討車聯網中用戶個人資訊的數據安全解決方案,最終基於技術要求推動相關標準的出臺。”
對此專家建議,應該推動健全合理的漏洞發現、處置與管理機制,加快行業標準制定出臺。同時,應建立安全監管責任體系,並將安全責任落實到上線前、運營使用中和事後等生命週期的各個環節。預計未來三年將是國內相關監管法規的集中發佈期。
此外,孔憲梓認為,車聯網安全水準的提高,一方面需要廠商加強資訊安全團隊的建設,提升核心基礎技術的安全可控能力;另一方面,廠商需要對車聯網漏洞持開放與包容態度,發揮廣大“白帽子”的力量。此前,一些“白帽子駭客”怕惹事上身,即使發現車聯網漏洞也往往不敢報送,未來可以把傳統領域已經應用實踐效果較好的安全監測預警、應急響應機制,移植到車聯網領域中,並且結合車聯網環境的特點,更有針對性地做好安全防護與監測。
