聚焦智能汽车安全 推进数据安全治理
浙江,美丽金秋,2021年世界互联网大会乌镇峰会如约而至。在大会的“互联网之光”博览会上,中国网络空间安全协会组织的车联网专区受到关注,参观者络绎不绝。
车联网是我国十三五重点项目之一,对我国创新发展战略中的智能交通、自动驾驶、5G通信、人工智能等新领域发展有重要意义,有利于加快制造强国、科技强国、网络强国、交通强国建设,增强国家综合实力,增进人民福祉。
“车联网安全专区”由中国网络空间安全协会秘书处智能车联网安全专家组指导,国家计算机网络应急技术处理协调中心协办。重点展示以下方面的内容:一是当前智能汽车安全总体情况,包括风险、法规、网络数据保护等;二是国内外企业和单位的车联网应用展示。
车联网网络安全广受关注
车联网作为“互联网+”时代网络空间重要延伸,面临重大的网络安全与数据安全风险,必将成为重大网络安全事件新的发生场。借助智能化、网联化、数字化在传统汽车行业的深入应用,智能网联汽车已成为广泛收集周围环境视频信息、个人隐私信息、车辆状态重要信息的海量移动重要数据采集器,对我国重要数据安全及人民个人隐私安全等构成潜在威胁。而且,由于缺乏对车辆数据的有效监管能力,多起智能汽车交通事故无法分析追责。车联网网络安全威胁还能够造成国家交通关键信息基础设施大规模瘫痪与恶意控制,严重威胁我国社会安全、公共安全与人民生命安全,对我国国家安全构成新的巨大威胁,具体表现在以下方面:
——摄像头视频数据海量采集,威胁重要数据安全
当前的智能网联汽车为实现自动/辅助驾驶功能,多配备多个摄像头、雷达等传感器设备,该类设备在车辆行驶期间,会持续收集车辆周围360度全息影像数据,进一步获得3D地理地图信息。一旦车辆涉及重要或敏感人员或区域,会存在泄露重要信息风险。
——海量个人隐私数据泄露,威胁人民隐私安全
智能网联汽车能够实时采集车辆行驶轨迹、个人住址/单位/手机号等隐私信息、充电数据等,并存在重要和敏感数据跨境传输的风险,一旦传输内容涉及个人敏感信息及国家重要数据,会对个人、社会乃至国家造成重大数据安全威胁。
——高危漏洞大量存在,网络安全问题突出
智能网联汽车正逐渐部署对汽车的远程调度、控制、更新等功能,如果恶意攻击者获取了信息平台权限或劫持了通信链路,会导致高速移动车辆成为秘密“武器”。国家互联网应急中心已发现车联网漏洞多达6000余个,部分攻击具有规模化、群体性攻击效果,后果极其严重。
多方施策加强车联网数据保护和网络安全
针对智能网联汽车面临的数据安全风险,国内国际相关监管部门已开始布局,在监管法规、政策等方面有了一定的成果。
美国在2020年发布的《自动驾驶4.0》中确立了确保隐私和数据安全的技术原则,保护驾驶员和乘客的数据以及第三方的数据免受未授权访问、收集、使用或共享等行为导致的隐私风险。
欧盟根据个人信息保护法规GDPR,在2020年发布的《在联网车辆和出行相关应用环境下处理个人数据的指南》中,也针对车联网中的个人数据保护提出了具体要求,强调对个人数据的保护和谨慎处理。另外,联合国在2020年发布了《WP29汽车信息安全和信息安全管理系统》法规中也对数据安全提出了明确要求。
中国高度重视智能网联汽车发展中涉及的数据保护和网络安全问题,相关监管部门积极施策,相继出台有关管理规定与通知,加强智能汽车行业安全监管。中央网信办等11部委于2020年联合印发的《智能网联汽车创新发展战略》提出“构建全面高效的智能汽车网络安全体系,加强数据安全监督管理”。2021年5月,国家网信办发布《汽车数据安全管理若干规定(征求意见稿)》,对智能汽车运营者在数据收集、使用、跨境传输、监管配合等方面做出明确规定。工信部发布《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》,从网络安全防护、数据安全保障、漏洞管理等方面提出指导性意见和要求。我国《网络安全法》和《数据安全法》也从宏观法律层面,对威胁我国重要领域的网络安全和数据安全重大风险提出明确保障要求。
国家互联网应急中心发力车联网安全
国家互联网应急中心作为国内最早开展车联网安全技术研发的团队之一,已形成一定的车联网网络安全、信息安全与数据安全技术能力,在车联网安全检测评估、攻防演练、监测预警、仿真实验等方面积累了一定的技术实力。
依托所承担的北京市发改委《车联网安全仿真与攻防技术北京市工程实验室》项目(已结题),形成了《汽车信息安全测试要求》、《汽车信息安全测试方案》、《汽车信息安全漏洞定级标准》等内部测试规范,自主研发了6套自研车联网和联网汽车测试工具,已对国内8家汽车企业的21款联网汽车实施了检测,共发现严重及高危漏洞200余个。建立了国家车联网安全漏洞库(CNVD-IoV)作为国家信息安全漏洞共享平台(CNVD)子平台,目前已收录车联网安全相关漏洞6000余个,大部分为高危漏洞,已成为支撑车联网安全保障的重要资源。支撑国家网络空间监管部门开展网络安全审查。
