“现在小的车企或者零部件企业‘没有安全’,大的企业在‘补安全’。”2022世界智能网联汽车大会“网络安全与数据安全主题论坛”上,中汽数据数据平台室主任李岩认为,智能网联汽车正在成为时速120公里的大型移动终端,信息安全已经非常严峻。
奇安信集团车联网研究院院长许斯亮也认为,信息安全已经成为继主动和被动安全、功能安全之后,汽车的第四大安全问题。“目前的新汽车约涉及上亿行代码,到2030年可以达到3亿行,而在信息安全领域,每1800行代码就会出现一个安全问题。”智能汽车自身代码量越大,出现bug的几率越大,汽车产品内部风险也在同步增加。
此外,许斯亮还提到了汽车供应链的复杂性对信息安全管理的影响。“不仅供应商可能存在安全问题,产品或者说企业还面临外部靶向攻击的安全风险。”
以用户使用较多的车载第三方应用软件为例。中国软件评测中心智能网联汽车测评工程技术中心副主任邹博松介绍,他的团队自2020年至今对市场上24家车企的35款车型做了整车评测,2022年的评测结果显示,通过USB接口连到车端、向车端安装恶意程序等方式,60%的车型都出现了应用安全问题,典型问题包括但不限于木马监听、获得车辆的行驶信息、行驶轨迹、以及用户通讯录等敏感信息。
对此,绿盟科技集团产品副总裁宫智认为,应该以供应链视角寻找保证智能汽车信息安全的突破口,“车企不仅要解决自身产品的安全问题,还有供应链问题。第三方供应商是否满足(信息安全)体系要求,也是在未来体系建设中非常重要的环节。”
产品之外,与会专家也一致认为,智能网联汽车是“车路协同”的重要组成部分,在和云端、智慧的路产生连接时,也极易引发新风险。
图片来源:中国通信院 中泰证券研究所
宫智表示:“以前车是封闭的,只有物理面暴露,智能网联车不仅需要车和车连接,还需要车和路、车和云的连接,所有连接点都可能存在暴露面。”
奇安信的数据显示,具备一定自动驾驶功能的汽车,每小时产生25GB的数据。上云才能高效地储存和处理数据,满足企业自动驾驶和智能座舱等车联网功能研发时,对海量数据高质量利用需求。车云连接的信息安全也成为当下行业热议的焦点。
360车联网安全首席科学家明亮更是将云端安全视为目前智能网联汽车最大的安全隐患。一方面,汽车的办公、生产、销售甚至运营维护的网络全部都要在云端打通,云端就成为了高价值目标;另一方面,汽车通过云端控制,意味着无条件接受云端的指挥。这两方面带来了车企上云的高价值和高风险。
李岩进一步指出,“车、路、云、环境之间的互通互联,让不同终端对应的面积非常广,这就延伸了车企的责任,导致车企想要做好信息安全无法独善其身。”
也正因为智能网联汽车信息安全涉及到多产业,防护截面多、线长,是一个复杂的安全问题,构建一整套完整的防御体系在当下已经十分必要。
天融信科技集团车联网安全总架构师范雪俭建议,保护数据安全最好的方法是通过一系列管理平台建设,对全业务流程进行管控。在此基础上对数据安全进行全生命周期建设,将整个防护过程分成采集、传输、存储、处理、交换和销毁6个环节,建立完整的车联网数据安全体系。
宫智也强调了体系建设的重要性,“如果真的想实现终极安全,车企在初期规划时就要把安全作为规划的重要环节,一定要体系先行。”此外,他也呼吁有更清晰的规范要求、更明确的标准和管理制度与汽车企业的技术打好配合,真正打造更安全的车联网安全生态和体系。
邹博松则建议监管机构加快、完善、补齐智能网联汽车网络安全发展相关政策、法规体系建设,同时加强安全监督力度,构建网联汽车网络安全监测评估体系。