数据显示,今年上半年,针对车联网平台的恶意网络攻击行为超过100万次,较2020年同期增长超过80%。“智能网联汽车安全形势异常严峻,同时高度智能网联化的汽车将产生海量多元异构、敏感甚至涉密数据,这些数据不仅关系到个人的利益,也涉及到商业组织的合法权益,更关乎国家的安全。”近日,国家智能网联汽车创新中心副主任辛克铎表示,网络与数据安全已经成为保障智能网联汽车健康发展和高质量有序发展的热点问题。
■■ 问题复杂多样
有统计数据显示,目前汽车行业有多达150多个车载控制器和大约1.5亿行代码,支撑着自动驾驶、智能网联、人机交互等新兴功能的实现。而高度复杂的电子电器系统、通信网络和软件配件,也为针对车辆和道路基础设施的网络攻击创造了大量机会,带来诸多风险。
国家信息技术安全研究中心副主任兼总工程师李京春表示,随着汽车行业电动化的推进,汽车零部件构造越来越简化,导致造车门槛降低。“传统燃油车大概有3万个零部件,纯电动汽车只有1.5万个零部件。与此同时,软件在汽车领域的比重持续加大,未来个性化内容要靠软件定义来实现。”
在李京春看来,虽然智能网联汽车数据安全形势整体向好,但有些问题依然比较突出,个别企业特别是境外企业数据违法违规,操作系统等底层技术被国外垄断,存在黑箱操作、数据交易不规范,数据传输过程中存在泄漏风险等。
2020年,大众汽车曾估计,其车辆中只有10%的软件由内部开发,其余90%由数十家供应商提供。上海大学网络空间安全系主任、上海市智能网联汽车网络安全产业协同创新主任李玉峰表示,软件设计不当造成漏洞之外,还有人为故意设置后门。“这些供应商提供给主机厂的代码和软硬件都是黑盒提供,主机厂也不知道代码里有什么问题,因此智能网联汽车的‘后门’问题无法杜绝。”李玉峰坦言。
“汽车智能化趋势下,数据安全是交通安全的重要外延,它已经跟交通安全密不可分了。传统燃油车往往涉及交通安全、驾驶安全、人身安全,可能更关注制动、转向、疲劳驾驶、超速、超员、酒驾等人的问题。智能网联汽车除了关注上述传统安全问题以外,还要关注数据安全、网络安全、控制安全,这几方面的安全性和交通安全已经融为一体。”李京春表示。
■■ 人才缺失严重
“企业要选择比较适合自身的方法,数据安全保护与资金投入有关,想保护得越好,需要投入的资金就越多。”北京天空卫士网络安全技术有限公司董事、合伙人兼高级技术总监杨明非表示。
事实上,近年来,随着新能源汽车技术的快速迭代,“汽车+软件”的复合型人才炙手可热,而汽车数据、网络安全相关领域的人才严重短缺。杨明非指出:“对很多企业来说,成本不在于资金,而是在人员,数据安全的人才现在最紧缺。把数据安全分类分级、数据安全策略、法律法规理解和要求、到分类分级对象制定、具体场景落地,这些方面的人才非常难找,今后应重视这类人才的培养。”
“汽车+网络安全是交叉程度较高的领域,至少国内没有哪所院校目前有汽车网络安全专业,更多是汽车专业或者是电子专业、网络安全专业去学习另外一门科目,当下没有相应的人才培养战略体系。”在清华大学苏州汽车研究院智能网联中心汽车网络安全技术主管潘舟金看来,目前智能网联汽车网络安全复合型人才培养体系滞后。
■■ 数据须合规流通
“数据安全合规跟网络信息安全合规不同,网络信息安全合规有相对成熟的标准可以参照,而数据安全合规则更初期一些,但要求却很多,这也加大了车企数据安全保护的压力。”蔚来汽车数据安全与合规团队负责人冯侦探表示,“新能源汽车有很多配套服务都要提前知道车辆状况,结合网络布局去更好地调度换电,这中间都会有数据交互。”
杨明非也指出,智能网联汽车网络安全不等于数据安全。“网络安全很多时候面向一个墙,墙可以把各种东西都隔离起来。但如今汽车数字化转型模式下,数据是流转的,锁起来没有任何价值,数据只要在流动,墙注定失去作用。把墙修起来之后,门总是要开的、管道总是要通的,但里面流过什么内容不知道。”他认为,汽车行业里上下游供应链、数据供应链、产业供应链和第三方合作供应链这些都可能会突破网络边界。
智能网联新技术的应用给了消费者更安全、更便捷、更愉悦的体验,但值得注意的是,智能网联、自动驾驶技术的发展离不开大量的数据积累,如何平衡数据合规积累流通与泄漏风险值得行业重视。北京车网科技发展有限公司副总经理宋娟认为:“数据安全合规方面,在守好安全合规底线的同时,希望数据能够流转起来、共享出去、应用起来,促进产业发展。”