随着智能化属性愈发凸显,汽车安全不再拘泥于交通安全、车辆安全等传统安全领域,数据安全、网络安全、平台安全、软件安全等与智能网联汽车息息相关的车联网安全问题日渐受到关注。近日,中汽智联发布了2023车联网网络安全十大风险,再次敲响车联网安全的警钟。
综合广泛数据、场景和舆情多方信息,中汽智联总结的2023车联网网络安全十大风险分别为:不安全的生态接口、车辆固件和软件存在已知漏洞、车辆固件和软件可被非授权获取、不安全的身份验证和授权、不安全的加密、敏感信息泄露、不安全的配置、车内域控未做安全隔离、车辆关键隐私数据泄露、社会工程学导致的安全问题。
值得注意的是,“不安全的生态接口”连续多年居风险首位。这体现了当前车联网安全中必须关注的一大矛盾:外部生态互联环境日益复杂、网联技术不断提高与智能网联汽车安全保障措施不健全、不成熟之间的矛盾。可见,提高安全意识、建立车联网安全防护体系刻不容缓。
笔者认为,保障车联网安全,首先要技术过硬。汽车向智能化的延伸使得产品边界不断扩展,其安全边界已不再局限于车端,还包含云端、传输端、升级包端等多维度。因此,在智能座舱、智能驾驶以及汽车OTA等相关智能化功能的开发、量产过程中,必须把“安全”作为技术底座,在确保安全性的基础上再谈创新。与此同时,对于汽车安全的维护,强调的是“防患于未然”,要以“治未病”的思路来划定车联网安全防线。因此,相关的检测评估技术也要跟得上趟,不能只忙着补漏洞、打补丁。
当然,车联网安全防护能力的提升,不仅仅在于技术的突破,更需要完善相关政策体系。由于跨部门、跨领域的行业特性,车联网安全需要公安、交通、工信等多个政府部门协同推进,共建标准体系。去年,市场监管总局等五部门联合发布《关于试行汽车安全沙盒监管制度的通告》,有效推动OTA健康稳定高效发展。今年3月,工信部印发的《车联网网络安全和数据安全标准体系建设指南》也明确提出,到2023年底,初步构建起车联网网络安全和数据安全标准体系。在顶层设计指引下,汽车、通讯、交通等多个行业才能真正形成合力,构筑坚实可靠的车联网安全堡垒。
不过,根据中汽智联的报告,尽管多项数据安全法规相继发布,但涉及敏感信息泄露、车辆关键隐私数据泄露的事件仍然不断增加。因此,在技术过关、政策引导基础上,覆盖全生命周期的、可闭环的车联网安全监管模式亟待完善。相关部门可针对不同安全类型分类分级进行差异化监管,建立健全准入管理、测试评估、备案管理、技术状态检测、召回管理等监管环节,做好车联网安全的专业化、体系化的事前防御、事中控制和事后补救。
从机械化运载工具到智能化移动终端,汽车产品属性的变化正在颠覆传统的研发、制造、营销体系。但万变不离其宗的是,无论汽车产品如何改变,“安全”始终是其最基本、最核心、最首要的要求。在不断“内卷”、愈发浮躁的当下,每一名汽车人、每一家汽车企业都应当沉心铭记:不安全,不配为产品,更无从谈智能。只有加快提升车联网安全防护能力,加强网络安全保障水平,才能更好地助力智能汽车发展。
