前不久,风头正劲的特斯拉又一次成为舆论焦点。不过,这一次可不是发生了什么好事情。据外媒报道,原来特斯拉遭遇完全的网络中断,公司内部系统宕机,手机APP和内部系统无法连接汽车。在系统出现宕机后,特斯拉员工无法处理订单和车辆交付工作;特斯拉的能源产品也受到这次故障的影响,太阳能和Powerwall储能电池用户无法监控系统;特斯拉官网主页之外的页面一度无法访问。市场分析认为,正是这一事故导致该公司当日股价暴跌。
事实上,随着智能网联技术的发展,汽车网络安全正面临越来越严峻的考验,我国车联网也曝出不少安全隐患。网络安全风险凸显的背后,加快构建车联网安全体系的紧迫性越来越高。
去年网络安全导致汽车安全事件占比57%
最近,在工业和信息化部网络安全管理局的指导下,由中国汽车技术研究中心牵头编制的《车联网网络安全白皮书(2020年)》(以下简称“《白皮书》”)公布。《白皮书》显示,随着我国智能网联汽车渗透率逐渐升高,网络安全事件频发,仅2019年网络安全问题导致的汽车安全事件占比高达57%。目前,我国车联网统一技术平台建设尚处起步阶段,不能提供可靠的安全保障,配套网络安全政策法规、标准研究制定等工作仍需加快推进。
据介绍,相较于2019车联网信息安全十大风险,2020年的十大风险中,“不安全的生态接口”仍处于首位,占比约25%;“系统固件可被提取及逆向”由第6名上升到第5名,占比约10%;“存在已知漏洞的组件”由第7名上升到第6名,占比约9%;“车载网络未做安全隔离”由第5名下降到第7名,占比约7%。
《车联网网络安全检测评估报告》则结合“硬性”设备测试评估结果,与“软性”企业管理调研情况,梳理车联网网络安全设备共性隐患、企业管理通病,剖析总结车联网网络安全行业需求痛点,简称为“行业三滞后、企业三缺乏”。“三滞后”是指行业监督管理滞后,企业缺乏合规动力;行业标准体系滞后,企业缺乏标准指导;行业漏洞管理滞后,企业缺乏共享渠道。“三缺乏”则是指部分小型企业因规模与成本受限,虽有漏洞在身,但无能力修复,需要依托大型企业投入科研与资本,承担行业责任,解决共性问题,形成行业发展联盟,搭建行业共享平台,共同解决风险隐患。
今年以来对车联网的恶意攻击达280万余次
在今年9月召开的2020中国汽车产业发展(泰达)国际论坛上,工信部网络安全管理局局长赵志国透露,根据去年的专项调研结果,85%的(车联网)关键部件存在安全漏洞,80%以上的车联网平台和APP存在缺乏身份鉴别、数据明文重组等隐患,近六成企业缺乏自动化的网络安全监测响应能力。他还介绍称,从车联网动态监测情况看,网络攻击向车联网领域延伸,今年以来对整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击,达到280万余次,平台的漏洞、通信的劫持、隐私泄露等风险十分严重。
据了解,车辆端、通信安全、基础设施等方面都存在一定的车联网安全风险。中国汽车工程研究院股份有限公司特聘专家郑光伟在接受《中国汽车报》记者采访时表示,从车辆和车主层面看,企业对车主信息的保护重视不够,有些甚至处于完全空白的状态。而随着汽车智能化、网联化的发展,一些车主信息包括社交账号、银行账号等,可以通过车联网传输到云端,如果车企缺乏对这些信息的安全性保护,很容易发生泄露。目前,这类问题比较普遍,大多数企业未能及时建立有效的措施,加强相关信息的安全管理。此外,黑客通过车联网进行恶意攻击,进行车辆远程操控等的安全风险更大。同时,在行业管理层面,一些外资品牌车型的车联网信息,如摄像头等传感器采集的道路信息等,很可能因缺乏监管或监管不到位而流出。“利用这些数据,国外一些机构无需测绘就能掌握我国高精度地图,安全风险极大。”他认为,在云端安全方面,除阿里、腾讯这些专业的互联网公司外,我国车联网产业链上的其他主体,尤其车企对网络安全问题的重视还远远不够。
中汽数据有限公司智能业务本部副总监张亚楠也表示,车联网信息安全与传统互联网信息安全类似,通常采用端口扫描、漏洞挖掘、逆向破解等综合技术手段,洞察车联网所面临的的信息安全威胁,进而利用已知的安全漏洞进行网络攻击。在车联网领域,汽车受到的信息安全威胁来自方方面面,比如云端受到服务中断、未授权访问等威胁;路侧单元端受到通信劫持、通信干扰等威胁,车车通讯受到车辆伪造、数据盗取、通讯中断等威胁;车端受到拒绝服务、协议逆向、软件逆向、固件解密等威胁。
标准指南将出台管理体系不断健全
“对于车企而言,车联网安全是一个全新的领域,它们甚至不知道怎么防控联网数据的泄露。随着技术和市场的发展,企业在车联网安全方面的构建,无论是体系的打造还是人才的储备,都应该有所提升。”郑光伟表示。
去年3月,汽标委智能网联汽车分标委提交的4项有关汽车信息安全的推荐性国家标准项目获批立项,分别是《汽车信息安全通用技术要求》(计划号20191065-T-339);《电动汽车远程服务与管理系统信息安全技术要求》(计划号20191066-T-339);《车载信息交互系统信息安全技术要求》(计划号20191069-T-339);《汽车网关信息安全技术要求》(计划号20191070-T-339)。
另据了解,今年1月,受工信部网络安全管理局委托,中国信息通信研究院(以下简称“中国信通院”)组建专项团队支持推进车联网(智能网联汽车)网络安全相关指南文件的编制。2019年12月25日,中国信通院组织召开专题研讨会,就车联网网络安全防护指南(草案)、车联网数据分类分级及合规应用指南(草案)征求专家意见。中国信息通信研究院安全研究所副所长林美玉透露,《车联网网络安全标准体系》正在加快构建,预计今年内对外发布。
赵志国强调,应着力探索建立车联网产业链企业网络安全分级分类管理模式,明确各类企业安全的要求,提升指导、提升企业的网络安全水平,着力解决整车企业网络安全意识不强的问题,指导企业建立健全内部网络安全的管理体系,打造整车企业网络安全综合集成创新和服务保障的能力。据悉,一方面,工信部将重点针对车联网的平台、车载关键设备、远程服务应用,积极构建企业自检测、第三方测评、政府监督相互协同的网络安全监测认证评估体系,提升车联网关键设备和关键环节的安全水平;另一方面,还将以产业安全发展需求为落脚点,加强车联网安全政策的供给,完善危险监测、信息共享、监督检查、协同处置的闭环管理机制,积极打造安全监管的服务生态。
张亚楠表示,在企业层面,整车企业为安全第一责任人。参照互联网领域信息安全“三分靠技术、七分靠管理”的治理经验,车企应通过构建管理体系的方式来规范研发流程,提供资源保障,管理安全风险,并在产品研发设计之初即将信息安全纳入考量,实现以全链条、反馈闭环、事前预防的形式应对信息安全问题,达到主动防御的目的;在汽车产品层面,则着重从技术手段出发,保障车端和链接端的安全,其中,风险评估、安全防护技术的应用都是关键环节,由于每个车企设计的车型架构不尽相同,整车级信息安全防护需要做整体的规划和设定;此外,开展安全验证活动也是有效的风险防范措施,利用黑盒测试、白盒测试、灰盒测试等方法,借助漏洞扫描、渗透测试、模糊测试、策略验证测试等验证技术,实现对汽车产品的信息安全验证,验证产品是否符合安全要求与安全质量标准。
