新能源汽车国家大数据联盟微课堂自11月17日起推出安全系列化课程,围绕网络安全、数据安全、车辆安全邀请专家大咖分享课程和观点,旨在服务国家数据安全治理体系的构建,促进数字经济的健康持续发展。2022年12月8日联盟微课堂安全系列化课程第二次课程上,360集团工业互联网与车联网安全首席科学家明亮博士分享了“新能源汽车数据安全面临的关键挑战与解决之道”的主题授课,以下为安全系列化课程的第二期完整课程回顾。进入新能源汽车国家大数据联盟公众号后台回复“数据安全”获取相关课件。
2021年2月,起亚汽车美国公司遭到网络勒索攻击,黑客攻击了车企的重要服务,导致敏感数据泄露和全美800家经销商IT服务中断,赎金2亿元;
2022年2月,小岛冲压工业株式会社遭受网络攻击,导致丰田汽车日本工厂全面停产,预计损失约1.3万辆的产量,约占丰田汽车日本产量的5%;
……
近年来,以新能源汽车为代表的汽车行业发展迅速,但同时也面临越来越多的来自网络空间的安全挑战。如何满足新能源汽车数据安全保护个人隐私、满足合规监督、抵御网络攻击三大需求,明亮博士在安全系列化课程的第二期为大家做了详细讲解。
新能源汽车数据安全根源和风险挑战
新能源汽车数据处理是一个多元主体参与的复杂过程,光电磁信号通过传感器到车载设备再与外部网络连接,软件、固件、协议、算法不同主体充分参与,数据经过存储、使用、加工、传输、提供、公开多个环节,因此数据处理不同环节都可能面临攻击风险。
而多元主体会带来数据安全的新挑战。
1、软件定义汽车,软件漏洞影响数据安全。随着汽车软件代码量剧增,漏洞不可避免,每千行代码中就有4-6个安全缺陷。
2、网络联接汽车,数据攻击面显著增大。车联网前三大攻击入口包括云端服务器、无钥匙进入系统、移动APP。
3、数据驱动汽车,数据安全风险攀升。封锁敏感数据,中断IT服务等重要业务,以此为要挟索要重金。除此之外还有商业数据与用户隐私的泄露。
4、数据上云,云端是最大数据安全隐患。车企生产网络、办公网络、运营网络、供应商网络开放程度不断提高,相互连接,云端成为安全的重大薄弱环节。
5、产品上链,供应链成为数据安全新短板。汽车供应链很长,如果对供应链做手脚会产生放大效应及蝴蝶效应。
6、汽车用智,数据安全影响AI安全。自动驾驶、智能座舱基于大数据训练,攻击造成汽车功能失效。
新能源汽车数据安全能力建设方法论
明亮博士将新能源汽车设计阶段、建设阶段、运营阶段的数据安全方法论分成6个基本原则。
1、数据中心、管防一体:以数据为中心,「监管、防护、治理」融合推进,构建一个完整的数据安全能力体系。
2、内控资源,外防攻击:以「三化六防」为指导,对内管控数据资源,对外防御网络攻击,内外兼备,整体提升数据安全水平。
3、盘点为本,分析为要:以数据盘点为基础,以数据分析为手段,全面探测、全过程采集数据,做好分类分级管理,分析建立数据资产地图和知识图谱。
4、集中研判、情报共享:以新技术改进数据处理方法,以情报共享实现协同联防,最大化数据价值。
5、专家运营、云化服务:以高水平安全专家加强数据运营,使数据安全成为随时随地的公共基础服务。
6、以评促建、共筑生态:基于DSMM模型开展数据安全测评,以评促建,打造数据安全良好生态。
360的新能源汽车数据安全能力体系
360的新能源汽车数据安全能力体系依据《网安法》《数安法》《个保法》《汽车数据安全管理若干规定》形成三层体系。数据从各场景收集起来经过数据安全大脑分析,一方面通过数据安全基础设施沉淀,另一方面把安全能力赋能到数据全生命周期及各场景中,保护车端、V2X、云控平台、供应链、APP等安全。
回答:数字安全与传统网络安全有很大的区别,包括供应链、AI等方面。传统汽车新的车型要做物理碰撞测试,这是必要的,随着新能源汽车的发展,智能算法测试、软件漏洞测试、通信协议测试也应该与物理碰撞测试相对照,做好攻防测试。
问题:汽车市场的安全事故不同于电脑病毒,360之前采用免费的方式抵抗电脑病毒,那对于汽车行业会有不同的思路吗?
问题:对于数据出境的安全管理,车企应该开展哪些工作?
回答:数据的价值在于利用,而不光是保护。国际之间进行必要的数据共享是有好处的,但是要严格按照国家法规实施。
问题:针对新能源汽车的数据安全测试是否应该纳入年检?
回答:态度上是需要的,环境变化会带来新的风险,年检是有意义的,但是如何落地,如何让用户接受是需要慎重考虑讨论的。