【TMT前言】
文/光明網(wǎng)記者 李政葳
“電影《速度與激情8》有這樣的情節(jié),網(wǎng)絡(luò)恐怖分子攻擊周邊幾公里范圍內(nèi)的汽車,把這些受遙控的‘僵尸車’作為攻擊武器……”理想汽車車聯(lián)網(wǎng)安全負(fù)責(zé)人董威講述的這個(gè)情節(jié)看似科幻,但已現(xiàn)實(shí)存在了,尤其在智能網(wǎng)聯(lián)汽車加速發(fā)展的當(dāng)下。
早在2015年,克萊斯勒的JEEP車型娛樂芯片漏洞就曾被黑客遠(yuǎn)程攻破;2016年,特斯拉車載系統(tǒng)遭無接觸遠(yuǎn)程破解,黑客可以在車輛行駛過程中打開汽車后備箱甚至讓車輛突然剎車。如今,在碰撞、盜竊等傳統(tǒng)風(fēng)險(xiǎn)之外,汽車的新風(fēng)險(xiǎn)隱患正在醞釀。
“車聯(lián)網(wǎng)作為汽車、電子、信息等深度融合的新興產(chǎn)業(yè)生態(tài),正在加速融入人們的日常生活,在給人們帶來便利的同時(shí),也讓網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)?!痹诮张e行的一場“TechWorld2021綠盟科技技術(shù)嘉年華”現(xiàn)場,記者遇到了理想汽車車聯(lián)網(wǎng)安全負(fù)責(zé)人董威,并在臺下聆聽了他的一場有關(guān)“車聯(lián)網(wǎng)信息安全挑戰(zhàn)與思考”的分享。
回顧汽車安防技術(shù)的發(fā)展史,長期以來主要圍繞防盜技術(shù)進(jìn)行升級。然而,伴隨汽車工業(yè)與信息產(chǎn)業(yè)融合發(fā)展,尤其是5G、智能網(wǎng)聯(lián)技術(shù)等帶來一系列新應(yīng)用場景,網(wǎng)絡(luò)、藍(lán)牙、WIFI、USB等對外連接,都成為黑客眼里“脆弱的窗口”。汽車安防早已超越傳統(tǒng)意義概念,向電腦和網(wǎng)絡(luò)防火墻的作用進(jìn)化,防止汽車被遠(yuǎn)程劫持、被遠(yuǎn)程監(jiān)聽監(jiān)視、被云上攻擊造成大規(guī)模信息泄露等成為防守重點(diǎn)。
知名汽車網(wǎng)絡(luò)安全公司Upstream Security發(fā)布的2020年《汽車網(wǎng)絡(luò)安全報(bào)告》顯示,自2016年至2020年1月,汽車網(wǎng)絡(luò)安全事件的數(shù)量增長了605%,僅2019年一年就增長了一倍以上。過去十年,前三大攻擊媒介分別是無鑰匙進(jìn)入系統(tǒng)(30%)、后端服務(wù)器(27%)和移動應(yīng)用程序(13%);安全事件造成的后果位列前三的分別是汽車盜竊/入侵(31%)、對汽車系統(tǒng)的控制(27%),以及數(shù)據(jù)/隱私泄露(23%)。
“作為網(wǎng)絡(luò)安全核心發(fā)力的新賽道,車聯(lián)網(wǎng)面臨未授權(quán)的訪問切片、信任風(fēng)暴、網(wǎng)源日常響應(yīng)等風(fēng)險(xiǎn)問題。詐騙檢測模型、數(shù)據(jù)收集、組織分析及持續(xù)運(yùn)營,都是亟需拓展的網(wǎng)絡(luò)安全新方向?!本G盟科技集團(tuán)首席技術(shù)官葉曉虎同樣深有感觸。很多時(shí)候,車聯(lián)網(wǎng)若遭受安全攻擊,輕則泄露出行軌跡、習(xí)慣、語音、視頻等個(gè)人隱私,重則釀成車毀人亡的慘劇,甚至被控制的汽車可能成為犯罪分子的工具。
因此,我們在暢想智能網(wǎng)聯(lián)汽車帶來的各種便捷時(shí),必須要未雨綢繆,構(gòu)筑好守護(hù)汽車網(wǎng)聯(lián)安全的防火墻,打破“越智能越危險(xiǎn)”的魔咒?!爸悄芫W(wǎng)聯(lián)汽車攻擊面擴(kuò)大,網(wǎng)聯(lián)功能需求涌現(xiàn),安全防護(hù)急需前置設(shè)計(jì)?!闭劶靶袠I(yè)困境,在董威看來,與很多行業(yè)現(xiàn)狀類似,人才培養(yǎng)缺陷成為通病?!白鳛橹悄芫W(wǎng)聯(lián)、數(shù)據(jù)安全、信息安全的重疊產(chǎn)業(yè),汽車行業(yè)的信息安全人才稀缺,安全團(tuán)隊(duì)組建并沒有想象中那么容易。”董威說。
另外,車企業(yè)務(wù)體系復(fù)雜,涉及眾多的崗位層級與職能角色,難以建立統(tǒng)一的信息安全管理組織架構(gòu);行業(yè)缺乏相關(guān)實(shí)踐積累,車企尚在各自艱難摸索,制度流程難落實(shí)。以上種種,董威認(rèn)為都是影響行業(yè)發(fā)展的關(guān)鍵因素。
有業(yè)界人士曾打過這樣的比方,“智能網(wǎng)聯(lián)車是有四個(gè)輪子的智能手機(jī)”。事實(shí)上,車聯(lián)網(wǎng)安全是功能安全與信息安全的融合。今年4月份發(fā)生的上海車展維權(quán)事件,引發(fā)的有關(guān)智能網(wǎng)聯(lián)車的數(shù)據(jù)權(quán)利和真實(shí)性的爭議來看,數(shù)據(jù)安全已經(jīng)成為汽車行業(yè)關(guān)注的重點(diǎn)問題。
“數(shù)據(jù)資產(chǎn)散亂不清、數(shù)據(jù)資產(chǎn)管理權(quán)責(zé)不明、敏感數(shù)據(jù)信息分布情況不清楚、多數(shù)據(jù)庫接口未統(tǒng)一管理導(dǎo)致數(shù)據(jù)動態(tài)監(jiān)控難實(shí)施等,引發(fā)數(shù)據(jù)安全技術(shù)及平臺工具應(yīng)用條件受限,安全管控難成體系?!倍f。
萬物互聯(lián)時(shí)代,如何做好車聯(lián)網(wǎng)安全?董威認(rèn)為,面對外部嚴(yán)峻的安全形勢和內(nèi)部不斷涌現(xiàn)的安全強(qiáng)需求,要從人員能力、組織建設(shè)、制度流程、技術(shù)工具等維度,進(jìn)行車聯(lián)網(wǎng)產(chǎn)品信息安全和數(shù)據(jù)安全的全生命周期能力建設(shè),構(gòu)建體系化的安全管控平臺;無論是整車企業(yè)、零部件供應(yīng)商,還是安全服務(wù)供應(yīng)商,都要從技術(shù)路線、法律符合性、場景兼容性、業(yè)務(wù)上下游、設(shè)計(jì)驗(yàn)證等角度,進(jìn)行全方位車聯(lián)網(wǎng)安全管理。
“行業(yè)發(fā)展要跨過整車安全單點(diǎn)防護(hù)階段,緊密結(jié)合全場景、可信任、實(shí)戰(zhàn)化要素,進(jìn)入體系化、標(biāo)準(zhǔn)化建設(shè)階段?!比~曉虎表示,安全防護(hù)產(chǎn)品應(yīng)基于車聯(lián)網(wǎng)不同車型內(nèi)部系統(tǒng)區(qū)別較大的特性,開發(fā)SDK(軟件開發(fā)工具包)安全能力并嵌入不同的車內(nèi)系統(tǒng),以較好的擴(kuò)展性保障車聯(lián)網(wǎng)安全。
董威也期待,國家監(jiān)管部門細(xì)化行業(yè)監(jiān)督管理要求,推進(jìn)行業(yè)細(xì)則出臺,減少監(jiān)管和規(guī)范多范圍并行推進(jìn)的情況,使得車企能夠聚焦能力體系的建設(shè)及問題解決;推進(jìn)制定數(shù)據(jù)安全建設(shè)實(shí)施指南,建議讓行業(yè)監(jiān)管機(jī)構(gòu)牽頭,整車企業(yè)、互聯(lián)網(wǎng)代表企業(yè)、安全公司共同參與。