汽车大观|智能汽车,如何保障信息安全?
3月10日,有消息称特斯拉上海超级工厂监控遭到入侵,起因是供应商安防系统初创公司Verkada遭黑客入侵,大量监控录像数据被窃取,特斯拉等公司的监控镜头片段被曝光。
当天下午,特斯拉回应表示,目前特斯拉在中国已经停止了这些摄像头的联网,并且已在供应商现场采取措施停止了摄像头工作。
特斯拉作为智能汽车的代表,在信息安全方向布局较早,工厂监控尚且还有被入侵的风险。那么,未来随着网络化程度越来越高,汽车的信息安全问题又当如何解决?
什么是信息安全?
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息技术的发展加快了汽车产业的变革,但智能化、网联化带来的信息安全问题也在日益凸显。根据中国汽车信息安全共享分析中心发布的信息显示,汽车信息安全涉及范围较广,汽车十大信息安全风险,包括不安全的云端接口、未经授权的访问、系统存在的后门、不安全的车载通信、车载网络未做安全隔离、系统固件可被提取及逆向、不安全的第三方组件、敏感信息泄露、不安全的加密和不安全的配置。
根据以上风险,黑客可利用汽车电子系统的漏洞,如蓝牙、云端、网络通信等在功能安全、软件、信息传输、娱乐系统多方面展开攻击。
信息安全事件有哪些?
汽车信息安全问题被业界所关注,最早始于6年前。
公开报道显示,2015年两名白帽黑客远程入侵了一辆行驶中的切诺基,对其做出减速、关闭引擎、制动失灵等操作。此举,导致克莱斯勒紧急召回了140万辆汽车。
2016年9月,腾讯科恩实验室宣布实现对特斯拉Model S的远程无物理接触破解,能够远程遥控车辆的门锁、灯光、座椅、中控大屏,甚至刹车等关键功能。之后,2017年7月,科恩实验室又实现了对Model X的无物理接触远程攻击。
2018年10月,奔驰也被曝出两个CVE漏洞,攻击者可利用漏洞,使车机无法正常工作。
2019年,欧洲ADAC汽车协会针对33个品牌的237款车型进行了安全测试,结果显示99%的车辆能够被黑客解锁并开走,最短时间仅需18秒。
根据Upstream统计,截至2019年,公开报道的智能汽车网络安全攻击事件就已高达155起。
未来,随着汽车智能化的发展,如果数十万辆汽车因为使用同一个应用或者同一个服务器,黑客攻击一个漏洞就能导致数十万辆车同时瘫痪,其灾难程度不亚于“911”事件。
可以说,重视智能汽车的信息安全问题,已经迫在眉睫。
整车企业如何应变?
目前,随着L2级辅助驾驶功能的大规模实现,各大整车企业已将目光瞄准了L3、L4级自动驾驶的产业化。
2020年4月,长城汽车成立数字化中心,并在7月发布整车智能化品牌“咖啡智能”,涵盖智能座舱、智能驾驶、智能电子电器架构。
值得一提的是,长城汽车并非首个“吃螃蟹”的自主品牌。
早在2016年,上汽就同阿里发布了“全球首款的量产互联网汽车”荣威RX5。2019年,上汽又与上港、中国移动正式启动5G、L4级智能驾驶重卡示范运营。2020年7月,上汽集团软件中心“零束”成立,聚焦智能驾驶系统、软件架构、基础软件平台和数据工厂。
而在造车新势力方面,以小鹏汽车为例。公开资料显示,其量产车型小鹏P7,搭载了全新的XPILOT 3.0自动驾驶辅助系统,可实现NGP(高速自动导航辅助驾驶)、ACC(自适应巡航)、LCC(车道居中辅助系统)、停车场记忆泊车等功能。
除此之外,当前市场上的语音交互、手机远程控制、车内外加载摄像头等智能化功能的搭载率也在日趋上升。
在此背景下,整车企业当如何应对汽车信息安全问题?
据了解,目前国内汽车信息安全市场还处于咨询问路的阶段,标准法规还未完善,相关理论尚未形成体系化的模式指导OEM开展相关信息安全工作。
不过,从公开信息看,不少信息安全企业和车企已经开始了相关布局。
车企方面,同样以小鹏汽车为例。目前,小鹏汽车已拥有一支数十人的信息安全团队,成员多为来自微软、阿里巴巴、腾讯、绿盟、网易的高级安全专家。
与此同时,传统信息安全企业例如奇安信、梆梆、科恩实验室等,也已在将业务重心转移至汽车信息安全领域。
国家应加强信息安全监管
互联网的加入赋予了汽车无限的可能和无穷的想象,智能汽车正成为数据收集、数据传输、数据处理的关键节点。但如果信息安全问题无法得到有效解决,真正的智能汽车时代或将永远无法到来。
对此,有业内专家表示:“智能汽车改变了传统意义上的汽车安全,从早期功能安全逐步向信息采集和运用安全转变,对于智能汽车的信息安全管理,也应该提升到国家信息安全的级别。”
今年两会期间,360创始人、董事长兼CEO周鸿祎提出:“预计到2025年,智能网联汽车可占年度汽车销量的50%,智能汽车已陆续出现远程控制、数据窃取、信息欺骗等安全问题,建议国家加大鼓励和引导企业,将智能汽车的联网安全防护体系纳入车辆生产、销售和服务体系中,并逐步形成强制性要求。”
此外,还有业内人士表示,建议国家主管部门加强战略布局,从国家层面提出汽车信息安全的总体规划和部署,统筹协调各方诉求,发挥各自优势,形成快速、高效、科学、合理的安全标准体系。
在业界看来,保护汽车数据安全,还要加强在智能汽车使用过程中的数据采集监管工作。禁止在用户不知情的情况下进行数据采集以及过度采集数据,大力发展数据的安全采集、存储、认证加密、安全传输、脱敏等保护技术。同时,还要制定智能汽车采集用户数据管理和地理环境数据的标准规范并加强数据出境监管。由国家对车辆信息安全相关数据进行分类管理,对保密等级较高的数据进行统一监控,实施安全动态监测机制,及时发现问题并处理。