行业现状
近年来, 智能网联汽车(以下也称“车联网”)发展渐入佳境,商业化落地提速。软件开始定义汽车后,安全隐患问题也随之凸显。2018年至今的智能网联汽车数据安全事件可以发现,每一次事故的发生都是对车联网数据安全产业的一次敲打。
行业威胁
从汽车数据类别来看,汽车数据可分为传统汽车数据、网联汽车数据与智能网联汽车数据三大类。目前阶段,智能网联汽车数据与网联汽车数据几乎相同,主要由汽车自身数据、城市交通数据和用户个人数据组成。其中,城市交通数据与用户个人数据的应用价值更大、泄漏后果也更严重。
智能网联汽车主要面临4层数据安全风险,主要涉及采集层、通信层、平台层和应用层。对车企而言,智能网联汽车云端的安全隐患不胜枚举,并且具备以下特点:终端种类多,车载终端安全存在漏洞;网络协议多,通讯数据安全受到威胁;使用场景多,云平台安全保护较弱。通讯数据安全受到威胁,在车载终端与外部主体通信过程中,敏感数据明文传输、密钥暴露等现象较为普遍。
数据安全监管持续加强
随着《网络安全法》、《数据安全法》、《个人信息保护法》、《汽车数据安全管理若干规定(试行)》等法律法规的实施,标志着我国车联网数据安全进入有法可依、有规可循的时代。工信部等监管部门也加强了车联网数据安全监管工作。
2021年3月,工业和信息化部、交通运输部、国家标准化管理委员联合印发发布《国家车联网产业标准体系建设指南(智能交通相关)》;
2021年6月,《车联网(智能网联汽车)网络安全标准体系建设指南》的发布,对车联网、智能网联汽车行业做出深化规范;
2021年7月,工信部等十部门联合印发《5G应用“扬帆计划”(2021——2023年)》中提出,建立完备的5G与车联网测试评估体系;
2021年9月,工信部发布《关于加强车联网网络安全和数据安全工作的通知》(工信部网安〔2021〕134号),要求落实安全主体责任,全面加强安全保护。明确要求加强智能网联汽车安全防护、加强车联网网络安全防护、加强车联网服务平台安全防护、加强数据安全保护、健全安全标准体系。
2022年3月7日,工信部发布《车联网网络安全和数据安全标准体系建设指南》,将车联网网络安全和数据安全标准体系划分为6 大部分共20 类标准,其中重点涉及到的安全领域包括为数字证书、密码应用、物联网安全、通信安全、身份认证、数据安全等。
在数据安全方面要求加强数据分类分级管理,强化数据安全监测预警和应急处置能力建设,提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平,规范数据开发利用和共享使用,强化数据出境安全管理。
▶▶ 数据分类分级管理,按照“谁主管、谁负责,谁运营、谁负责”的原则,智能网联汽车生产企业、车联网服务平台运营企业要建立数据管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。
▶▶ 数据安全技术保障能力,智能网联汽车生产企业、车联网服务平台运营企业针对数据全生命周期采取有效技术保护措施,防范数据泄露、毁损、丢失、篡改、误用、滥用等风险。强化数据安全监测预警和应急处置能力建设,提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平;
▶▶ 数据开发利用和共享规范使用。智能网联汽车生产企业、车联网服务平台运营企业要合理开发利用数据资源,防范在使用自动化决策技术处理数据时,侵犯用户隐私权和知情权。明确数据共享和开发利用的安全管理和责任要求,对数据合作方数据安全保护能力进行审核评估,对数据共享使用情况进行监督管理。
▶▶ 数据出境安全管理。智能网联汽车生产企业、车联网服务平台运营企业需向境外提供在中华人民共和国境内收集和产生的重要数据的,依法依规进行数据出境安全评估并向相关部门报备。
数据安全需求分析
数据防滥用
智能网联汽车涉及海量数据,通过汽车传感器能收集到的数据,远比通过手机收集到的数据要多。理论上这些传感器,能够收集到大量车内人员的个人隐私信息,此外,还能够收集大量的车外地理位置信息,同时,涉及相关方众多,且传输链条长,智能网联汽车摸清数据资产和数据流转,对数据资产进行分类分级管理,掌握数据使用情况,合理利用数据资源,防止滥用,包括对过期或不再使用数据的去标识化处理等,对数据安全保护至关重要。
安全合规需求
法律合规是智能网联汽车数据安全建设最大驱动力。满足法律法规、标准规范、监管要求,目前是车企、汽车服务商等车联网企业的首要任务。对数据分类分级(包括重要数据)、风险监测、数据脱敏、数据加密、身份认证、风险评估等法律合规要求具有需求。
数据安全防护需求
智能网联汽车数据的应用场景丰富,针对不同数据处理活动(数据采集、传输、存储、处理、共享、销毁)等数据处理活动,都需要必要的安全措施进行防护,防止数据泄露。车联网数据敏感度非常高,数据泄露不仅对车企业带来负面影响和处罚,同时智能网联汽车或TSP平台一旦遭受非法入侵和攻击,将导致车辆被远程解锁或启动,对于车主的权益、财产、人身安全造成伤害。
目前智能网联汽车企业在身份认证技术、数据加密、访问控制、安全审计安全防护措施方面得到广泛应用。车企对数据分类分级、数据脱敏、数据防泄漏、车联网数据隐私保护与安全共享、零信任、用户违规行为监测、数据安全风险监测、API安全管控及监测、数据安全态势监控平台等技术手段具有需求。
解决方案
针对智能网联汽车安全需求,可立足于数据分类分级、数据脱敏、数据出境安全管理、API监测能力、数据安全监测、数据安全合规等方向开展安全防护实践。
01
夯实基础,开始汽车数据分类分级
智能网联汽车数据分类分级管理,可结合市面上敏感数据测绘类工具或平台,进行适当匹配识别策略,比如“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。“敏感个人信息”是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。“重要数据” 包括了重要敏感区域的地理信息、人员流量、车辆流量等数据;车辆流量、物流等反映经济运行情况的数据;汽车充电网的运行数据;包含人脸信息、车牌信息等的车外视频、图像数据;涉及个人信息主体超过10万人的个人信息等,敏感数据测绘类工具或平台,可以开展良好的管理实践。
02
风险识别,开展常态化数据安全风险评估
对于数据要进行安全风险评估,分析数字资产的重要程度、所面临的威胁和脆弱性,对企业数据安全风险进行评价;还要进行数据安全合规性评估,针对智能网联汽车数据处理活动,判断其是否符合相关法律、法规、标准和管理要求,评估企业数据安全管理措施合理有效的过程。
03
防护体系,建立智能网联汽车数据安全防护体系
数据安全防护类产品,如市面上数据安全监测系统和API安全监测系统等产品,可匹配智能网联汽车行业数据出境安全管理、API监测能力、数据安全监测等安全需求。
04
人员赋能,强化数据安全管理能力
建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任。强化企业内部监督管理,加大资源保障力度,及时发现并解决安全隐患。加强智能网联汽车网络安全和数据安全宣传、教育和相关政策、指南、防护技术体系培训。
— 往期回顾 —