【新华财经调查】车联网安全紧迫到什么程度?黑客攻击五年增长20倍

币游国际网

2021-07-08

阅读量:核心提示:过去5年间,黑客对智能汽车攻击的次数增长了20倍,其中%的攻击涉及车辆控制。 ”中国信息通信研究院泰尔终端实验室信息安全部副主任国炜告诉新华财经记者,测试发现,目前大部分的车型在信息安全防护水平方面偏低。 新华财经北京7月2日电(记者李唐宁)车联网(智能网联汽车)作为汽车、电子、信息通信等深度融合的新兴产业生态,已成为推动制造业高质量发展的重要动力。

但同时,车联网网络安全事件频发,成为行业发展的巨大隐患,提高车辆信息安全防护水平已经迫在眉睫。

为此,6月下旬连续公布了《车联网(智能网联汽车)网络安全标准体系建设指南》和《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》,促进标准落地、强调数据安全。

目前,车联网安全问题紧迫到什么程度?面临哪些方面的新挑战?应着力重点解决哪些问题?新华财经记者就此展开调查。

黑客攻击五年增长20倍车联网安全面临新挑战过去5年间,黑客对智能汽车攻击的次数增长了20倍,其中%的攻击涉及车辆控制。

中国信息通信研究院泰尔终端实验室信息安全部副主任国炜告诉新华财经记者,通过泰尔终端实验室测试发现,目前大部分的车型在信息安全防护水平方面偏低,车内相关联网部件及控制部件防护可靠性不高,且缺失一定的安全策略,这会导致车内敏感信息泄露或被篡改,以及车辆行驶中的异常行为,还有可能危及人的生命安全。 360集团工业互联网安全研究院院长张建新日前表示,去年的数据显示,白帽子发现的安全问题和黑客导致的安全事件基本是1:1的比例,由此可见车联网的安全问题已经由实验室研究院开始走向产业化对抗。

在我们调研过程中获知,一辆智能网联汽车每天至少收集10TB的数据,不仅数量极大,而且涉及到驾乘人员的出行轨迹、习惯、语音、视频等等,一旦遭受侵害会泄露个人隐私。 国家工业信息安全发展研究中心副总工程师兼信息政策所所长黄鹏表示,2020年全球相关恶意攻击超过280万余次。

车企虽然越来越重视数据安全问题,但是实际落地案例较少,很多企业都是在边界游走,探索的成本非常高。 对于车联网安全面临的紧迫形式,奇安信天工实验室负责人刘跃在接受新华财经记者采访时表示,车联网安全目前面临三方面新挑战:一是车辆数据安全问题。

比如特斯拉汽车等自动驾驶功能的汽车,具有多种形态的传感器装置,而车辆行驶中获得的道路高精度测绘数据,与国防等领域息息相关,应得到严格监管。

二是车联网安全漏洞问题。 目前汽车智能功能外溢严重,而功能越丰富,相应的攻击面越多。 刘跃说:比如汽车数字钥匙,区别传统射频信号的车钥匙,具有手机APP、NFC卡多种形式,提供如远程预热、关闭车窗等控车体验,但是近三年特斯拉汽车的重大安全漏洞,就有四起与汽车数字钥匙相关。

三是新技术应用安全建设滞后。

刘跃举例称,近年来V2X作为车联网新兴技术,广泛应用于智能公交、无人驾驶等领域,但V2X相应的安全防护能力相对单薄,研究发现,攻击者可轻松伪造红绿灯交通信息,控制无人驾驶车辆违背交通信号行驶,影响驾驶安全。

数据安全管理待加强有国产合资品牌车辆数据传到国外事实上,车辆数据安全方面,刚刚公布的《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》(以下简称《通知》)再次特别强调,要强化数据出境安全管理。 为了更好地实现车与路的互动和周围基础设施的互动,智能网联汽车会收集周围的场景和重要地理信息的数据,而如果精度达到一定程度的话,会影响或者威胁国家安全。

智能网联汽车直接关乎百姓的生命安全、国家的社会治安,它的安全性比移动互联网更重要。 国炜表示,法律法规明确在中华人民共和国境内收集和产生的个人信息和重要数据应当依法在境内存储,但现在仍存在一些国际企业在国内开展业务的同时将个人信息和数据向国外服务器传送的现象。

关于跨境数据安全这部分,除了被广泛提到的特斯拉,我们也做了很多测试,事实证明国产合资品牌的某些车辆也存在跨境数据安全问题,有些数据确实是传到了国外。 中国汽车工程研究院车联网信息安全专家郑光伟告诉记者:目前保障数据安全是一个相对短板,尤其是个人隐私安全、跨境数据安全管理部分,在主机厂层面其实是非常薄弱的。 这也是我们领域内关注的一个热点。

车辆行驶、道路测绘等数据的不可控,甚至会影响到国家安全。 刘跃表示,汽车智能化、网联化的发展未来,势不可挡,但未来车联网的安全体系起码要实现以下两个目标:一是从个人角度考虑,不会因为顾虑网络安全问题,导致不敢乘坐智能汽车,包括无人驾驶汽车等;二是从国家层面考虑,不会因为汽车所使用的传感器装置,而不允许车辆出入重要场所。

国炜认为,在数据出境安全评估过程中,要充分考虑数据出境合法性、正当性、必要性,且从发送方数据出境的技术管理能力、数据接收方的安全保护能力及措施,以及数据接收方所在国家或区域的政治法律环境,充分评估涉及的个人信息,以及重要数据的安全风险等级。

专家建议推动安全检测机制建立提升车联网(智能网联汽车)的网络安全防护能力还需要政策层面的哪些支持?专家认为,在监管角度,应建立安全监管责任体系,并将安全责任落实到上线前、运营使用中和事后等生命周期的各个环节,预计未来3年将是国内相关的监管与法规的集中发布期。 保障车联网安全,不是普通主机厂或者社会机构就能够完成的,而是需要政府引导和推动。 郑光伟表示:比如关注网络态势、攻防态势、风险感知,这都属于监管应该继续大力推动加强的部分。 此外,有业内人士提出,政策层面应该推动建立健全合理的漏洞发现、处置与管理机制。

因为车企漏洞管理机制不完善,很容易导致公司法务介入,很多白帽子黑客怕惹事上身,即使发现漏洞往往不敢报送,而且也不知道向谁报送。

刘跃表示,汽车产业结构复杂,往往涉及到企业内部多个部门,甚至上游产业链,所以安全问题的责任划分需要明确。

此外,可以把传统领域已经应用实践效果较好的安全监测预警、应急响应机制,移植到车联网领域中,并且结合车联网环境的特点,更有针对性的做好安全防护与监测。

360政企安全车联网安全研究院院长严敏睿也对新华财经记者表示,当前急需由相关部委牵头,建立具备评价方法的安全检测和监测机制。

网络安全本质就是攻防的对抗,如果车联网所使用的安全机制没有对应的评价方法,将会使得行业内各个企业在落地车联网安全机制时缺乏基本依据和规范,导致落地后的机制无法抵抗来自黑客的攻击。 他表示,公司是工信部网安局车联网安全专班成员,目前已与比亚迪、长城、中汽中心、上研智联、一汽、东风等众多主流汽车品牌成立联合实验室,进行智能汽车网络安全监测,优化网络安全解决方案。

车企层面,黄鹏建议,从两个角度提升数据安全方面的能力。

一是提升核心基础技术的安全可控能力,即涉及车辆本质上的安全。

二是提升数据安全综合防护能力,利用新一代的信息技术,包括区块链技术、流量检测技术、国密技术等,提升综合防护的能力。

严敏睿认为,车企可以参考国内外相关标准,形成自身的安全防护体系,将汽车信心安全从原本对单点的关注进化到整套体系。 汽车相关的产业链应从产品设计之前,就应将对于网络安全的考虑纳入产品需求中,并在产品的全生命周期里加入对产品的安全设计、安全研发、安全测试、安全运营。

他说。 编辑:王媛媛声明:新华财经为新华社承建的国家金融信息平台。 任何情况下,本平台所发布的信息均不构成投资建议。

新华社民族品牌工程:服务民族企业,助力中国品牌[责任编辑:王媛媛]。