近段時間�,特斯拉維權(quán)事件在國內(nèi)也是鬧得愈演愈烈�����,維權(quán)女車主和特斯拉�,以及國內(nèi)相關部門,都在密切推動���、關切維權(quán)事宜的進展����。與此同時,此次維權(quán)事件�����,也間接或直接推動了國內(nèi)智能網(wǎng)聯(lián)汽車數(shù)據(jù)信息安全的研發(fā)和建立����。
近日,國家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長黃鵬發(fā)表了演講��。
主要是介紹了團隊最新的研究成果——關于智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全的研究���,提到將統(tǒng)籌產(chǎn)業(yè)創(chuàng)新發(fā)展與保障數(shù)據(jù)安全�����、盡快出臺數(shù)據(jù)分類分級指南和管理細則���、建立事前風險評估和事后應急響應機制、重點關注跨境數(shù)據(jù)流動問題等�����。
黃鵬主要從五個方面做了報告���,一是智能網(wǎng)聯(lián)汽車的內(nèi)涵和發(fā)展現(xiàn)狀�;二是智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全發(fā)展態(tài)勢�����;三是車企對智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全的認識不斷加深�����;
四是網(wǎng)絡安全企業(yè)在智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全市場 " 大有可為 "�����;五是政府積極統(tǒng)籌智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展與數(shù)據(jù)安全保護�。
一、智能網(wǎng)聯(lián)汽車的內(nèi)涵及發(fā)展現(xiàn)狀
智能網(wǎng)聯(lián)汽車作為一個新興的重要領域和場景�,發(fā)展已勢不可擋,而且主流國家和行業(yè)組織對于智能網(wǎng)聯(lián)汽車��,已經(jīng)從系統(tǒng)�����、產(chǎn)品�、裝備、網(wǎng)絡等角度都有一些重要布局。
研究認為��,智能網(wǎng)聯(lián)汽車不同于傳統(tǒng)的汽車裝備���,至少有四個顯著特點�。
首先是互聯(lián)互通��,這是基本的特征�。
二是軟件定義。從原來的機械驅(qū)動發(fā)展為未來的數(shù)據(jù)驅(qū)動��,這是非常重要的特點�����。大眾在前幾年就宣布投入35億歐元打造自己的汽車操作系統(tǒng)�,而特斯拉軟件成本占整車成本的40%,而且S系列代碼行數(shù)超過了4億行����。
很多企業(yè)都談及已經(jīng)成立自己的軟件科技企業(yè),開發(fā)自己的操作系統(tǒng)和APP�����,適應軟件定義汽車的大潮���。未來智能網(wǎng)聯(lián)汽車至少60%的價值來源于軟件����,所以未來的智能網(wǎng)聯(lián)汽車是新型的信息技術(shù)終端����。
三是無人駕駛。剛才朱教授深入的講解了無人駕駛不同級別����、不同場景的應用和風險。
四是綠色低碳�。未來智能網(wǎng)聯(lián)汽車以電動汽車為主,非常適合或者適應國家關于 " 雙碳 " 相關的要求和布局��。
另外���,我們對智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)鏈也做了初步的分析���,從上游的元器件、軟件�����,到下游相應的內(nèi)容、平臺����、數(shù)據(jù)以及關于出行、保險���、租賃�、維修等方面的服務商�,整個產(chǎn)業(yè)鏈的打造和重塑也不斷演進����。
我國已在產(chǎn)業(yè)鏈各個環(huán)節(jié)均有布局,但是核心系統(tǒng)部件仍較多依賴進口�����,最近在技術(shù)研發(fā)方面實現(xiàn)一些突破�,但是在市場化量產(chǎn)方面還有一定差距。
二�、智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全發(fā)展態(tài)勢
智能網(wǎng)聯(lián)汽車主要的特點是,數(shù)據(jù)成為驅(qū)動汽車發(fā)展的重要價值點�����,這種發(fā)展趨勢對于車輛的安全和數(shù)據(jù)的安全都有新的要求和風險���,所以要求一方面從車的全生命周期,另一方面從數(shù)據(jù)的全生命周期兩個角度考慮智能網(wǎng)聯(lián)汽車的安全問題�����。
基于這兩個維度��,我們發(fā)現(xiàn)未來智能網(wǎng)聯(lián)汽車帶來的數(shù)據(jù)安全風險還是很大���、很突出的�,至少涉及四個方面:
首先行業(yè)的數(shù)據(jù)安全意識有待提高���,近期一系列相應事件的出現(xiàn)���,在一定程度上會影響消費者對智能網(wǎng)聯(lián)汽車安全的信心�����。
二是數(shù)據(jù)泄露風險巨大,威脅個人隱私安全���。由于智能網(wǎng)聯(lián)汽車為了更好的實現(xiàn)自動駕駛或者是使乘駕者有更好的體驗���,會收集相應的信息,在我們調(diào)研過程中獲知����,一輛智能網(wǎng)聯(lián)汽車每天至少收集10TB的數(shù)據(jù)�,不僅數(shù)量極大,而且涉及到駕乘人員的出行軌跡���、習慣���、語音、視頻等等���,一旦遭受侵害會泄露個人隱私。
三是網(wǎng)絡安全漏洞多�����,威脅個人人身和財產(chǎn)安全。2020年全球相關惡意攻擊超過280萬余次�,黑客通過網(wǎng)絡攻擊的手段可以控制車輛行駛,也可以利用軟件的漏洞操控智能網(wǎng)聯(lián)汽車�,所以威脅和風險也是非常大��。
四是可能會威脅國家安全�����。為了更好地實現(xiàn)車與路的互動和周圍基礎設施的互動,智能網(wǎng)聯(lián)汽車也會收集周圍的場景和重要地理信息的數(shù)據(jù)�����,如果精度達到一定程度的話�,會影響或者威脅國家安全。
我們看到一些國家�,尤其是發(fā)達國家和行業(yè)組織也紛紛出臺了管理規(guī)范和舉措�����。美國�����、歐盟��、以及國際汽車制造協(xié)會��,已經(jīng)通過了一些原則性����、戰(zhàn)略性的規(guī)定����,也包括一些比較細化�、可操作的指南��。
不同的智能網(wǎng)聯(lián)汽車制造廠商�����,由于基因不同����,對數(shù)據(jù)安全的認識或者保護能力也不一樣。我們認為目前最主要的智能網(wǎng)聯(lián)汽車制造商來源于三類企業(yè):
第一類是傳統(tǒng)車企��,他們的發(fā)展模式是漸進式的���,包括目前國產(chǎn)自主品牌的汽車,還有合資品牌的汽車�,這類傳統(tǒng)車企在推進相關的新技術(shù)開發(fā)和應用,以及數(shù)字化轉(zhuǎn)型工作��,但總體來講,他們的意識和能力還在發(fā)展過程當中���。
第二類是信息技術(shù)企業(yè)�����,像百度、阿里�����、騰訊、華為���、滴滴�、小米等信息技術(shù)企業(yè)��,這類企業(yè)基于在信息技術(shù)領域強大的能力和生態(tài)���,大力推廣相應的技術(shù)系統(tǒng)、自動駕駛系統(tǒng)等�,通過跨越式的方式進軍智能網(wǎng)聯(lián)汽車行業(yè)�����。
第三類是造車新勢力���。理想���、蔚來��、小鵬等在發(fā)展過程當中是激進式發(fā)展過程���,他們對于數(shù)據(jù)安全的考慮和布局也有自身的特點��。
全球知名的咨詢機構(gòu)Guidehouse對于現(xiàn)有智能網(wǎng)聯(lián)汽車領域的競爭格局進行分析�����,發(fā)現(xiàn)目前的‘’領導者‘’中��,四家企業(yè)基本上都是信息技術(shù)企業(yè)�,在目前這個階段,以信息技術(shù)為背景的企業(yè)進入智能網(wǎng)聯(lián)汽車行業(yè)是具有一定優(yōu)勢的��。
非常有意思的一點是���,我們孰知的特斯拉被Guidehouse置于‘’跟隨者‘’中,主要原因是該機構(gòu)認為特斯拉自動駕駛能力和安全保障能力與其宣傳的相比具有一定的差距�����。
這三類不同類型的智能網(wǎng)聯(lián)汽車制造商對數(shù)據(jù)安全的認識和保護能力仍有一定的差異�,尤其是傳統(tǒng)車企和信息技術(shù)企業(yè)以及造車新勢力在相應能力上的布局�����,包括組織架構(gòu)的調(diào)整��,適應新的安全需求方面的能力等����,可能都有一定差異。但是我們發(fā)現(xiàn)這三類企業(yè)也在跨界融合��,在相互借鑒���。
三、車企對汽車數(shù)據(jù)安全的理解不斷加深
我們調(diào)研了一部分車企�����,總結(jié)了他們對當前數(shù)據(jù)安全的理解和舉措���,車企也越來越重視重視數(shù)據(jù)安全問題,國內(nèi)主流企業(yè)通過強化技術(shù)手段和管理機制��,意在大幅提升數(shù)據(jù)安全的保障能力�。
但是其實風險也是非常突出的:一是核心器件自主可控能力有待進一步提高����,比如傳感器����、芯片����、雷達天線等還屬于智能網(wǎng)聯(lián)汽車的 " 卡脖子 " 領域。
二是企業(yè)管理責任缺失����,很多車企往往在 " 黑盒 " 的狀態(tài)下開展一些數(shù)據(jù)治理工作����,使現(xiàn)有的保護機制和管理舉措很困難,出現(xiàn)滯后問題���。
三是實際落地案例較少�����,缺少具體的指導性和實操性指南,很多企業(yè)都是在邊界游走�����,探索的成本也非常高��,所以后續(xù)有很多需要進一步明確的地方�����。
從建議的角度����,我們建議車企從兩個角度提升數(shù)據(jù)安全方面的能力。一是提升核心基礎技術(shù)的安全可控能力���,即涉及車輛本質(zhì)上的安全�。二是提升數(shù)據(jù)安全綜合防護能力�,利用新一代的信息技術(shù),包括區(qū)塊鏈技術(shù)�、流量檢測技術(shù)、國密技術(shù)等�����,提升綜合防護的能力。
四�、網(wǎng)絡安全企業(yè)在智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全市場 " 大有可為 "
我國主流的網(wǎng)絡安全企業(yè)都在積極布局智能網(wǎng)聯(lián)汽車的新賽道,大多基于他們傳統(tǒng)的產(chǎn)品�����,再根據(jù)智能網(wǎng)聯(lián)汽車的新場景做一些適應性的調(diào)整和優(yōu)化����,包括在數(shù)據(jù)層面,從云����、管、端各個角度等都提出了相應的解決方案�����,在檢測和服務方面也推出了一些相應的網(wǎng)絡安全產(chǎn)品��。
我們調(diào)研了國內(nèi)一家安全廠商——天融信��,已經(jīng)形成了覆蓋車端網(wǎng)關�、ECU��、T-BOX�����、以及云端�、APP端等全方位的滲透測試工具和服務�。下一個案例來自百度����,其自動駕駛安全的架構(gòu)已經(jīng)涵蓋了整個數(shù)據(jù)安全的全生命周期。
可以說�,智能網(wǎng)聯(lián)汽車領域?qū)τ诰W(wǎng)絡安全產(chǎn)業(yè)��,或者網(wǎng)絡安全企業(yè)來講是一個巨大的市場���,但是也存在著很多挑戰(zhàn)�����,一是現(xiàn)有的網(wǎng)絡安全產(chǎn)品和解決方案還不滿足智能網(wǎng)聯(lián)汽車的安全需求。
二是安全解決方案的路徑不太一樣���,有的網(wǎng)絡安全企業(yè)側(cè)重車端的安全�,有的側(cè)重云端的安全��,雖然這些解決方案沒有哪個更優(yōu)質(zhì)����,但是也需要相互借鑒。
三是安全產(chǎn)品的應用還存在成本�����、意識等問題����。我們也提了兩個建議���,一是建議這些網(wǎng)絡安全企業(yè)針對智能網(wǎng)聯(lián)汽車不同的場景�,開發(fā)針對性的相關的產(chǎn)品和解決方案�����,提高推廣的力度����。
四是要探索適用智能網(wǎng)聯(lián)汽車場景的網(wǎng)絡安全保險方案��,保險在汽車這個領域是非常常見的�,但是數(shù)據(jù)安全的保險���,或者網(wǎng)絡安全的保險可以對車企��、用戶,以及產(chǎn)業(yè)鏈上的諸多信息技術(shù)服務企業(yè)提供一體化的保障�。
五�、政府積極統(tǒng)籌智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展與數(shù)據(jù)安全保護
首先在政策規(guī)劃層面�,政府已經(jīng)出臺了相關的標準指南,包括一些政策文件����,加強對整個數(shù)據(jù)全生命周期的管控�,并強調(diào)數(shù)據(jù)分類分級工作。
二是在法律法規(guī)層面����,《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》(草案)�����,以及網(wǎng)信辦出臺的的《汽車數(shù)據(jù)安全管理若干規(guī)定》(征求意見稿)已經(jīng)體現(xiàn)了政府的一些針對性考慮,我們支持網(wǎng)信辦和工信部等部門出臺更加細化的管理條例和指南��,從法律法規(guī)層面給予指引和指南��,更好的指導整個產(chǎn)業(yè)的實踐�。
三是標準體系不斷完善���,包括頂層的體系性標準�,以及專項的標準都在陸續(xù)出臺和不斷地修訂完善。
四是試點應用加速落地�����,比如上海臨港新片區(qū)跨境數(shù)據(jù)的試點��,一些路測�、風險評估以及風險管控相關試點的工作也都在推進過程當中。智能網(wǎng)聯(lián)汽車本身是一個新生事物����,又涉及到很復雜的系統(tǒng)��,確實需要政府通過開展試點示范的工作�����,總結(jié)一些優(yōu)秀的做法�,進行后續(xù)的推廣。
當然從政府推進產(chǎn)業(yè)發(fā)展和保障數(shù)據(jù)安全的角度也面臨重要的挑戰(zhàn)�。一是整個法規(guī)體系�、標準體系還是相對滯后于產(chǎn)業(yè)的發(fā)展速度����。
二是存在多頭監(jiān)管的問題,還需盡快細化一些行業(yè)性的管理要求���。從數(shù)據(jù)安全監(jiān)管的角度,國家網(wǎng)信部門是牽頭部門��,但是涉及到具體行業(yè)細則的出臺����,還需要行業(yè)主管部門���,以及一些重要的行業(yè)協(xié)會去推動相關工作�����。
三是實操性的舉措還不夠����,數(shù)據(jù)安全監(jiān)管和治理的一項基礎性工作就是要做到數(shù)據(jù)分類分級,對于數(shù)據(jù)既要管��,又不能管得太死����,哪些要管��,哪些需要高強手段的監(jiān)管,哪些需要在市場上流動�����,一項非常基礎的工作就是數(shù)據(jù)分類分級�����。
我們提的建議包括四個方面:一是統(tǒng)籌產(chǎn)業(yè)創(chuàng)新發(fā)展與保障數(shù)據(jù)安全�。二是盡快出臺數(shù)據(jù)分類分級指南和管理細則�����,在國內(nèi)一些重要的行業(yè)領域�����,比如金融����、工業(yè)互聯(lián)網(wǎng)等領域���,已經(jīng)出臺了相應的分類分級指南,智能網(wǎng)聯(lián)汽車行業(yè)可以予以借鑒�。
三是建立事前風險評估和事后應急響應機制�����,比如國家級的專業(yè)技術(shù)機構(gòu)可以探討如何更好的提供服務和支持��。
四是重點關注跨境數(shù)據(jù)流動問題,目前國內(nèi)對這個問題比較關注�����,國家網(wǎng)信部門也在密集調(diào)研和研究�,希望后續(xù)在借鑒全球通用做法的同時,細化相應的數(shù)據(jù)流動規(guī)則��。
以上就是我們目前這個報告的主要內(nèi)容���,在報告撰寫過程當中,也得到了一些車企和網(wǎng)絡安全企業(yè)的支持,后續(xù)我們也希望跟在座的企業(yè)和專家合作�����,使我們在智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全領域做得更加深入。
