数据智能产业创新服务媒体
——聚焦数智 · 改变商业
全面拥抱数字化的浪潮早已袭来,但数据的安全性也成为各行各业关注的焦点。
近日,蔚来汽车用户数据遭泄露引发热议。针对此次事件,蔚来先后由其官方、创始人李斌及相关负责人卢龙三次致歉,称不涉及车辆使用中产生的数据,也不影响车辆的驾乘或远程控制,会对此次事件给用户带来的损失承担责任。
从目前官方公布的信息来看,此次数据泄露主要是2021年8月之前的部分用户基本信息和车辆销售信息,被对方勒索225万美元(当前约1570.5万元人民币)等额比特币。
在收到勒索邮件后,蔚来表示当天即成立了专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。
李斌对此明确表示,坚决不和犯罪分子妥协,不做赔付的先河。哪怕公司赔破产了,也不会妥协。同时,李斌也呼吁行业不要向数据买卖者妥协,不要助长犯罪分子的气焰。
其实,近年来,不只蔚来,还有其他众多汽车厂商均受到数据安全问题影响,这其中究竟是谁的责任,用户的数据安全如何才能得到保障?
丰田、大众、沃尔沃、通用均面临数据安全挑战
如今,随着新能源汽车的发展与普及,汽车制造商不再仅仅满足于车本身的升级,而是对汽车智能化、网联化的整体升级,但随之而来的以汽车数据为核心的新安全问题日益凸显,汽车数据安全事件频发。
2021年6月,大众汽车曾表示,有将近330万名客户或潜在买家的数据遭泄露。同年12月,沃尔沃汽车运营的研发数据也遭遇黑客入侵,沃尔沃称在入侵期间公司有限数量的研发财产被盗,并称此次黑客攻击“可能对公司的运营产生影响”。
今年5月,通用汽车发布声明称,其注意到2022年4月11日-29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。此外,今年10月,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露。
综合上述信息观察到,数据泄露的主要原因大致可分为两类。
一类是自身疏忽,如大众汽车,其泄露的原因是是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。
另一类则是被黑客盗取用于牟利,这也是大部分数据被窃的主要原因。智能网联的发展为行业带来了机遇,同时也带来了多重挑战。
清华大学车辆与运载学院教授杨殿阁表示,智能汽车的数据来源非常复杂,既包括车载摄像头、激光雷达、毫米波雷达等感知的地理信息、交通信息、行人信息等外界环境感知数据,也包括驾驶员个人信息、车辆行驶轨迹、车载总线数据等车内数据。另外,手机与车机结合以后,在车上还会存储个人社交账号、支付密码、家庭信息等个人隐私数据。因而,智能汽车需要守住数据安全底线。
数据安全成为汽车企业健康发展的基石
大数据、互联网、数字化转型的迅速发展,为人们带来无限发展机遇的同时,也导致了攻击面扩大的问题。伴随着数据泄露的方式多样化,尤其是黑客的攻击手段不断发生变化,近年来数据泄露事件的频率、规模和成本都在快速增长。
根据Ponemon发布的《2022年数据泄露成本报告》,2022年全球数据泄露规模和平均成本均创下历史新高,数据泄露事件的平均成本高达435万美元。
而汽车随着智能化的升级,涉及到的数据不仅包括大量的用户信息,还涵盖地理位置,车内私密空间语音、画面,汽车智能控制系统等方方面面,如果处理不当不仅会造成行车安全问题,用户隐私安全问题,甚至还会危害到国家安全。
因此,国家作为保护数据安全的总舵手,近年来针对智能汽车数据安全治理出台了多项政策。
如工信部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》中明确,企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。
此外,我国首部针对汽车数据安全制定的法规——《汽车数据安全管理若干规定(试行)》则首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容。
数据作为数字经济时代最为活跃的新型生产要素,然而在汽车领域,国内很多企业的数据仍处在“裸奔”状态。尤其中小企业,依然认为网络安全事故或者安全漏洞隐患“离自己还很远”。
从目前企业对自身数据安全的保障举措来看,不管是汽车行业还是其他各行各业,对于数据安全的保障主要来源于两方面,一方面是建设自身专业团队,另外一方面是将数据安全整体打包给专业的数据安全保障公司,来维护企业数据安全。
究竟哪种方式才能更大程度的保护好自身及用户的数据安全性呢?
如何寻找合适的数据安全防护手段
专业的事情需要专业的人来做,在自身防护技术无法解决问题的情况下,选择优秀的解决方案成为每个汽车企业都需要考虑的问题。
现阶段,在汽车数据安全领域,360、奇安信、天融信、云驰未来、国汽智控等企业已经推出了一系列的产品及解决方案,并且有部分数据安全产品和解决方案已经落地实施。
以网络安全的明星企业360为例,360集团董事长周鸿祎曾明确表示:“智能网联汽车是数字产业化和产业数字化的交汇地带,汽车的数据化、智能化、网络化是关键。”目前,360已与10余家车企宣布成立汽车安全联合实验室,其中包括与中国一汽合作成立了汽车数据安全研究中心。360推出专为智能网联汽车研发的汽车安全卫士产品,以360云端安全大脑为核心的车联网安全框架,能够以安全大数据分析为基础,利用威胁情报订阅、知识库、安全专家等关键能力赋能于车企,提升车企对安全威胁的检测发现能力。
奇安信也在汽车数据安全防护领域有所突破。奇安信于2019年成立星舆实验室 ,致力于汽车信息安全技术的探索,专注于汽车的安全研究、漏洞挖掘、渗透测试、攻防演练等工作,另外还提供奇安信车路协同安全“哨兵”、奇安信车联网安全合规检测一体化集成柜等车联网安全产品。近年来,奇安信与紫金山实验室联合成立了“智能网联汽车安全实验室”,与北汽集团、中电互联共同成立了“驾御车联安全实验室”。
天融信依托在网络安全领域领先的技术和测评体系,将通用安全技术与车联网业务场景进行融合,针对智能网联汽车及网络关键设备,推出车载防火墙、车载入侵检测、车内认证加密等系列车载安全产品。
可以看到,已有越来越多的专业厂商布局汽车数据安全领域,但为何仍有如此之多的车企遭受数据泄露之痛?
汽车数据安全问题何时休?
据Upstream发布的《全球汽车网络安全报告》显示,2021年公开报道的针对汽车的攻击事件数量增长了225%。
如今,数据安全事件频发,且安全威胁呈现多样性,其中高价值特殊敏感数据泄露风险加剧,企业运营和个人财产同样面临巨大挑战。伴随着汽车数据安全相关政策的实施,接下来的几年内,汽车数据安全市场将迎来爆发式增长。
由于智能网联汽车数据安全产业还处于起步阶段,部分技术以及解决方案还处于研发状态,且行业对于数据安全监管如何落地、供应商如何分工、如何对数据全生命周期开展安全防护等问题,仍然存在盲点和难点。
与此同时,汽车数据安全产品的量产落地面临车辆端数据安全防护技术要求高、技术覆盖面广、移植适配复杂、实施工作量大等难题。然而,汽车数据安全产业的大部分从业人员都是由网络与信息安全人才转化而来,整个行业存在人才储备严重不足、标准亟须完善等问题。
因此,智能汽车数据安全产品需要政府监管、市场需求、技术发展等众多条件共同努力。一场关于智能汽车数据安全的战争即将爆发。
当然,车企作为数据安全的“第一要守护者”,应自身加强数据安全意识,在采集用户信息应做到“知情同意、最小够用”;另一方面,智能汽车公司应该承担起用户隐私守护的责任,通过检测智能汽车安全,尽可能避免黑客攻击。
在智能化提速发展的当今,汽车数据安全边界也应进一步扩大。