以下為演講實錄:
下午好,國家工業信息安全發展研究中心副總工程師、信息政策研究所所長黃鵬。我謹代表中心匯報我們團隊的最新研究成果——智能網聯汽車數據安全研究。這個研究比較初步,希望以後得到領導和專家的指導。今天主要匯報五個方面。壹、智能網聯汽車的內涵和發展現狀;二是智能網聯汽車數據安全的發展趨勢;第三,車企對智能網聯汽車數據安全的認識正在加深;第四,網絡安全企業在智能網聯汽車數據安全市場“大有可為”;第五,政府積極協調智能網聯汽車產業發展和數據安全保護。
壹、智能網聯汽車的內涵和發展現狀
智能網聯汽車作為壹個新的重要領域和場景,發展勢不可擋,主流國家和行業組織從系統、產品、設備、網絡等角度對智能網聯汽車進行了壹些重要的布局。
認為智能網聯汽車不同於傳統汽車設備,至少具有四個顯著特征。
首先是互聯互通,這是基本特征。
第二是軟件定義。從最初的機械驅動發展到未來的數據驅動是壹個非常重要的特征。幾年前,大眾宣布投資35億歐元打造自己的汽車操作系統,而特斯拉軟件成本占整車成本的40%,S系列代碼行數超過4億。許多公司都談到要成立自己的軟件技術公司,開發自己的操作系統和app,以適應軟件定義汽車的浪潮。未來智能網聯汽車至少60%的價值來自軟件,所以未來智能網聯汽車是新的信息技術終端。
三是無人駕駛。剛才朱教授深入講解了無人駕駛在不同層面、不同場景下的應用和風險。
第四是綠色低碳。未來智能網聯汽車主要是電動汽車,非常適合或適應國家對“雙碳”相關的要求和布局。
此外,我們還對智能網聯汽車產業鏈做了初步的分析,從上遊的零部件和軟件到下遊相應的內容、平臺、數據和服務商對出行、保險、租賃、維修等各個方面,整個產業鏈也壹直在不斷演進。中國已經在產業鏈的各個環節進行了布局,但核心系統部件仍然更多依賴進口。最近在技術研發上取得了壹些突破,但距離市場化量產還有壹定差距。
二、智能網聯汽車數據安全的發展趨勢
智能網聯汽車的主要特點是數據成為驅動車輛發展的重要價值點。這種發展趨勢對車輛和數據的安全性有了新的要求和風險,要求壹方面從車輛全生命周期的角度,另壹方面從數據全生命周期的角度來考慮智能網聯汽車的安全性。
基於這兩個維度,我們發現未來智能網聯汽車帶來的數據安全風險仍然非常大和突出,至少涉及四個方面:
首先,行業對數據安全的意識有待提高。近期壹系列相應事件的出現,會在壹定程度上影響消費者對智能網聯汽車安全性的信心。
二是數據泄露風險巨大,威脅個人隱私。因為智能網聯汽車為了更好的實現自動駕駛或者讓駕駛員有更好的體驗,會收集相應的信息,我們在調研的過程中了解到,壹輛智能網聯汽車每天至少要收集10TB的數據,不僅龐大,還涉及到駕乘人員的出行軌跡、習慣、語音、視頻等等。壹旦受到侵害,就會泄露個人隱私。
三是網絡安全漏洞多,威脅人身財產安全。2020年,全球惡意攻擊將超過280萬次。黑客可以通過網絡攻擊控制車輛的行駛,也可以利用軟件漏洞控制智能網聯汽車,因此威脅和風險也非常大。
第四,可能威脅國家安全。為了更好地實現車輛和道路與周圍基礎設施的交互,智能網聯汽車還將收集周圍場景的數據和重要的地理信息。如果精度達到壹定程度,就會影響或威脅國家安全。
我們看到壹些國家特別是發達國家和行業組織也出臺了管理規範和措施。美國、歐盟和國際汽車制造商協會都通過了壹些原則性、戰略性的法規,包括壹些詳細的、可操作的指南。
不同的智能網聯汽車廠商,由於基因不同,對數據安全的理解或保護能力也不同。我們認為,目前最重要的智能網聯汽車廠商來自三類企業:
第壹類是傳統車企,發展模式是漸進式的,包括國內自主品牌的車和合資品牌的車。這些傳統車企都在推動相關新技術的開發應用和數字化轉型,但總體來說意識和能力還在發展過程中。
第二類是信息技術企業,如百度、阿裏、騰訊、華為、滴滴、小米等信息技術企業。這些企業基於自身在信息技術領域的強大能力和生態,大力推進相應的技術系統和自動駕駛系統,跨越式進入智能網聯汽車產業。
第三類是造車新勢力。理想、未來、小鵬等。在他們的開發過程中都比較激進,對數據安全的考慮和布局也各有特色。
全球知名咨詢機構Guidehouse分析了智能網聯汽車領域現有的競爭格局,發現目前的領先者中,有4家企業基本都是信息技術企業。現階段,具有信息技術背景的企業進入智能網聯汽車行業具有壹定優勢。
很有意思的是,我們知道特斯拉被Guidehouse列入了‘跟隨者’,主要是因為該機構認為特斯拉的自動駕駛能力和安全保障能力與其宣傳相比有壹定差距。
這三種不同類型的智能網聯汽車廠商對數據安全的理解和防護能力還是有壹定的差異,尤其是在相應能力的布局上,包括組織架構的調整和適應新的安全需求的能力。但是,我們發現這三類企業也在跨界融合,互相學習。
第三,車企對汽車數據安全的認識正在加深。
我們調查了壹些汽車公司,總結了他們對當前數據安全的理解和措施。車企越來越重視數據安全問題。國內主流企業打算通過加強技術手段和管理機制,大幅提升保障數據安全的能力。
但其實風險也很突出:壹是核心器件的自主可控性有待進壹步提高,如傳感器、芯片、雷達天線等。,也屬於智能網聯汽車的“卡脖子”領域。二是企業管理責任缺失,很多車企往往以“黑箱”狀態開展壹些數據管理工作,使得現有的保護機制和管理措施困難且滯後。三是實際落地案例少,缺乏具體指導和實踐指導。很多企業都在邊界徘徊,探索的成本也很高,需要進壹步明確的地方很多。
從建議的角度,我們建議車企從兩個角度提升數據安全能力。首先是提高核心基礎技術的安全性和可控性,這涉及到車輛的本質安全。二是提高數據安全的綜合防護能力,采用新壹代信息技術,包括區塊鏈技術、流量檢測技術、國家秘密技術等。,提高綜合防護能力。
四、網絡安全企業在智能網聯汽車數據安全市場“大有可為”
國內主流網絡安全企業都在積極布局智能網聯汽車新賽道,大多是基於其傳統產品,再根據智能網聯汽車新場景,包括數據層面,從雲、管理、端等角度,做壹些適應性的調整和優化。在檢測和服務方面也提出了壹些相應的網絡安全產品。
我們調研了國內安防廠商天榮信,已經形成了覆蓋車載網關、ECU、T-BOX、雲端、APP的全方位滲透測試工具和服務。下壹個案例來自百度,其自動駕駛安全架構已經覆蓋了數據安全的全生命周期。
可以說,智能網聯汽車領域對於網絡安全行業或網絡安全企業來說是壹個巨大的市場,但也存在諸多挑戰。第壹,現有的網絡安全產品和解決方案不能滿足智能網聯汽車的安全需求。第二,安全解決方案的路徑不盡相同。壹些網絡安全公司專註於車輛的安全,而另壹些公司專註於雲的安全。雖然這些解決方案沒有壹個更好,但它們需要相互學習。第三,安全產品的應用還存在成本、意識等問題。我們還提出了兩點建議。第壹,建議這些網絡安全企業針對智能網聯汽車的不同場景,開發有針對性的相關產品和解決方案,提高推廣力度。二是探索適合智能網聯汽車場景的網絡安全保險方案。保險在汽車領域非常普遍,但數據安全保險或網絡安全保險可以為汽車企業、用戶以及產業鏈上的眾多信息技術服務企業提供壹體化保障。
動詞 (verb的縮寫)政府積極協調智能網聯汽車產業發展和數據安全保護。
首先,在政策規劃層面,政府出臺了相關的標準指引,包括壹些政策文件,加強對數據全生命周期的管控,強調數據的分類分級。
第二,在法律法規層面,網絡安全法、數據安全法、個人信息保護法(草案),以及網信辦發布的汽車數據安全管理規定(征求意見稿),已經體現了政府的壹些針對性的考慮。我們支持網信辦和工信部出臺更加細化的管理規定和指引,從法律法規層面給予指導和指引,從而更好地指導整個行業的實踐。
三是標準體系不斷完善,包括頂層系統性標準和專項標準,正在出臺並不斷修訂完善。
四是試點應用加快,如上海臨港新區跨境數據試點,壹些與路測、風險評估、風險管控相關的試點也在推進中。智能網聯汽車本身就是壹個新生事物,它涉及到壹個非常復雜的系統。確實需要政府進行試點示範工作,總結壹些優秀做法,進行後續推廣。
當然,從政府推動產業發展、保障數據安全的角度來看,也面臨著重要的挑戰。第壹,整個法律體系和標準體系仍然落後於行業的發展速度。二是存在多頭監管的問題,需要盡快細化壹些行業管理要求。從數據安全監管的角度來說,國家網信部是牽頭部門,但涉及到具體行業規則的出臺,還需要行業主管部門和壹些重要的行業協會來推動相關工作。第三,實際措施不夠。數據安全監管和治理的基本任務之壹是對數據進行分類分級。對於數據,要管,但不能管得太死。哪些需要管理,哪些需要強有力的監管手段,哪些需要在市場上流動,壹個很基礎的工作就是數據分類分級。
我們的建議包括四個方面:第壹,統籌產業創新發展,保障數據安全。二是盡快出臺數據分類分級的指南和管理細則。國內壹些重要的行業,如金融、工業互聯網等,都出臺了相應的分類分級指引,可供智能網聯汽車行業借鑒。三是建立事前風險評估和事後應急機制。例如,國家專業技術機構可以探索如何提供更好的服務和支持。第四,關註跨境數據流動。目前我國對這個問題比較重視,國家網信部門也在緊鑼密鼓地進行調研。希望在借鑒全球通用做法的同時,細化相應的數據流規則。
以上是我們本期報道的主要內容。在撰寫報告的過程中,我們也得到了壹些車企和網絡安全公司的支持。之後,我們也希望與在座的企業和專家合作,讓我們在智能網聯汽車數據安全領域做得更多。