不久前，蔚來(lái)深陷“數(shù)據(jù)泄漏門(mén)”，成為數(shù)據(jù)安全界的頭條，也讓智能汽車安全的問(wèn)題，暴露在鎂光燈下。

究竟是蔚來(lái)注定有此一劫？還是信息安全問(wèn)題已經(jīng)成為智能汽車行業(yè)通??？

有網(wǎng)友分析是蔚來(lái)沒(méi)有重視數(shù)據(jù)安全的保護(hù)。蔚來(lái)CEO李斌曾對(duì)外宣布每季度研發(fā)費(fèi)用都將保持30億元左右，主要用于研發(fā)電池、芯片等。但是這里面并不包括數(shù)據(jù)安全。

蔚來(lái)并不是個(gè)例。此前，大眾汽車、豐田汽車、通用汽車都發(fā)生過(guò)不同程度的數(shù)據(jù)泄露事件。2022年5月和10月通用汽車和豐田汽車同樣遭遇疑似用戶數(shù)據(jù)泄露事件。再往前，2021年6月，大眾汽車曾表示，有將近330萬(wàn)名客戶或潛在買(mǎi)家的數(shù)據(jù)遭泄露……

數(shù)據(jù)泄漏蔚來(lái)顯然不是獨(dú)一份，只是作為有著“車界海底撈”之稱智能電動(dòng)車品牌代表的蔚來(lái)，泄漏如此多的用戶信息，自然會(huì)受到更多關(guān)注。

目前智能汽車的發(fā)展正如火如荼，不僅有蔚來(lái)、小鵬、蔚小理這樣的創(chuàng)業(yè)公司，還有百度、小米這樣的科技公司也開(kāi)始下場(chǎng)造車。而蔚來(lái)汽車數(shù)據(jù)泄漏的背后也讓我們看到，智能汽車行業(yè)對(duì)于數(shù)據(jù)安全問(wèn)題的意識(shí)極其薄弱。

另一方面，智能汽車風(fēng)頭正勁，各家都在跑馬圈地都想盡快獲取用戶，增強(qiáng)盈利能力，擴(kuò)大規(guī)?；?yīng)。此時(shí)投入數(shù)據(jù)安全建設(shè)被認(rèn)為是“無(wú)形效益”，所以大多數(shù)汽車廠商都是在發(fā)展規(guī)模很大之后才開(kāi)始在安全方面投入。

但是這樣的做法顯然已經(jīng)不符合當(dāng)前嚴(yán)峻的數(shù)據(jù)安全態(tài)勢(shì)。我們可以看一組數(shù)據(jù)：根據(jù)工信部的規(guī)劃，到2025年新能源汽車的銷量要占到汽車總銷量的20%。波士頓咨詢公司的報(bào)告也指出，到2035年全球自動(dòng)駕駛汽車銷量將達(dá)1200萬(wàn)輛，其中超過(guò)1/4在中國(guó)售出。

而從360車聯(lián)網(wǎng)安全研究院的近年的統(tǒng)計(jì)數(shù)據(jù)來(lái)看，25家車企的不同的53款在售智能網(wǎng)聯(lián)汽車中，約有漏洞1600余個(gè)。

未來(lái)智能汽車會(huì)走進(jìn)千家萬(wàn)戶，勢(shì)必會(huì)產(chǎn)生更多安全問(wèn)題。

數(shù)據(jù)安全問(wèn)題不解決，未來(lái)一定會(huì)成為智能汽車行業(yè)發(fā)展的硬傷。也許此次蔚來(lái)“數(shù)據(jù)泄漏”事件恰好會(huì)成為汽車行業(yè)重視數(shù)據(jù)安全問(wèn)題的一劑催化劑，給汽車行業(yè)的同行們敲響一記警鐘。

隨著智能網(wǎng)聯(lián)時(shí)代的到來(lái)，車聯(lián)網(wǎng)安全形勢(shì)更加嚴(yán)峻復(fù)雜，互聯(lián)網(wǎng)資產(chǎn)暴露面和安全邊界持續(xù)擴(kuò)大。相比于傳統(tǒng)的汽車車身安全問(wèn)題，網(wǎng)絡(luò)安全、數(shù)據(jù)安全、車輛行駛安全、產(chǎn)業(yè)安全等安全問(wèn)題交織疊加，并且正加速向車聯(lián)網(wǎng)領(lǐng)域滲透蔓延。

在新局勢(shì)下，汽車數(shù)據(jù)大規(guī)模的泄漏事件頻發(fā)，智能汽車安全問(wèn)題已經(jīng)迫在眉睫了。目前，智能汽車行業(yè)的安全建設(shè)水平如何？怎樣建設(shè)完備的智能汽車安全保障體系？存在哪些難題和挑戰(zhàn)？圍繞這些關(guān)鍵問(wèn)題，雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))開(kāi)啟智能汽車安全“十人談”系列報(bào)道，嘗試?yán)迩逯悄芷嚢踩ㄔO(shè)的思路及路徑。

本文為該系列的第二篇，由360數(shù)字安全集團(tuán)車聯(lián)網(wǎng)安全研究院院長(zhǎng)嚴(yán)敏睿從汽車安全廠商角度，分享目前國(guó)內(nèi)汽車廠商安全建設(shè)現(xiàn)狀以及國(guó)內(nèi)外汽車安全建設(shè)現(xiàn)狀對(duì)比、還有360車聯(lián)網(wǎng)安全研究院的一些思考。

汽車廠商正在穿越安全的迷霧

智能汽車市場(chǎng)大勢(shì)浩浩湯湯，嚴(yán)敏睿認(rèn)為，智能網(wǎng)聯(lián)汽車時(shí)代，汽車廠商安全責(zé)任范圍更加廣了，汽車企業(yè)需要走出傳統(tǒng)IT安全建設(shè)的迷霧，更加堅(jiān)定的投入汽車網(wǎng)絡(luò)安全。

過(guò)去車企在網(wǎng)絡(luò)安全建設(shè)上屬于滯后狀態(tài)，業(yè)務(wù)發(fā)展是第一位。在網(wǎng)絡(luò)安全上面投入少之又少，缺人才、缺資金、缺制度，車聯(lián)網(wǎng)的網(wǎng)絡(luò)安全、信息安全建設(shè)也處于一種亂象的狀態(tài)，比如一些“最低價(jià)中標(biāo)”等風(fēng)氣，影響行業(yè)的健康發(fā)展。

隨著車聯(lián)網(wǎng)數(shù)字安全問(wèn)題頻發(fā)，車企逐漸意識(shí)到建設(shè)汽車網(wǎng)絡(luò)安全、信息安全的重要性，但是又不懂怎么建設(shè)？自建還是購(gòu)買(mǎi)安全產(chǎn)品？效果到底怎么樣？企業(yè)更應(yīng)該關(guān)注哪方面的安全問(wèn)題？

“針對(duì)大、中、小型不同體量的車企，可以根據(jù)自己實(shí)力自建安全能力體系或者購(gòu)買(mǎi)供應(yīng)商的安全產(chǎn)品服務(wù)，同時(shí)汽車安全也是一個(gè)持續(xù)進(jìn)行負(fù)反饋優(yōu)化的系統(tǒng)工程，因此持續(xù)化的安全運(yùn)營(yíng)對(duì)于車企的能力成長(zhǎng)和對(duì)車主的保障是不可或缺的?！眹?yán)敏睿如是說(shuō)。

嚴(yán)敏睿告訴雷峰網(wǎng)：“車端安全和云端安全都是廠商要關(guān)注的點(diǎn)，兩個(gè)端面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和失陷后的影響都各不相同。雖然目前云端安全關(guān)注度更高，影響覆蓋面最大，但是針對(duì)車端的攻擊會(huì)更有針對(duì)性和目的性，尤其是自動(dòng)駕駛級(jí)別逐步提高，針對(duì)車端的攻擊會(huì)更直接的影響到車輛的轉(zhuǎn)向和動(dòng)力系統(tǒng)，從虛擬世界的攻擊轉(zhuǎn)變?yōu)檎鎸?shí)世界的傷害?！?/p>

很多廠商會(huì)把傳統(tǒng)ICT領(lǐng)域的網(wǎng)絡(luò)安全產(chǎn)品直接搬到車上來(lái)，缺乏了對(duì)于汽車的認(rèn)知，導(dǎo)致不適用于汽車的產(chǎn)品上了車，最終企業(yè)花了錢(qián)卻沒(méi)達(dá)到實(shí)用的效果。

360主要關(guān)注的是汽車特性的東西，研究車端存在的數(shù)字安全風(fēng)險(xiǎn)，傳統(tǒng)安全的東西大部分企業(yè)已經(jīng)都做過(guò)了，因此360就盡可能多做一些針對(duì)性的防護(hù)，也就是汽車車端本身的安全問(wèn)題。

以下為新智駕與嚴(yán)敏睿的對(duì)話節(jié)選，新智駕做了不改變?cè)獾木庉嫼驼怼?/p>

Q：傳統(tǒng)汽車安全和智能網(wǎng)聯(lián)汽車安全的差別在哪里？

嚴(yán)敏睿：傳統(tǒng)汽車安全更加偏向功能安全，消費(fèi)者和車廠關(guān)注的重點(diǎn)在于碰撞安全、剎車安全等。智能網(wǎng)聯(lián)汽車發(fā)展起來(lái)以后，除了關(guān)注傳統(tǒng)功能安全以外，汽車信息安全也受到重視。因?yàn)橹悄芫W(wǎng)聯(lián)汽車中的數(shù)據(jù)不僅關(guān)系到消費(fèi)者個(gè)人隱私安全，也關(guān)系到車企業(yè)務(wù)安全和國(guó)家安全。總得來(lái)說(shuō)，汽車廠商的責(zé)任更加大了，以前車廠只要OEM采購(gòu)零部件進(jìn)行組裝，賣出去就不用管后面的事情了?，F(xiàn)在智能網(wǎng)聯(lián)汽車售賣之后，還要對(duì)汽車的網(wǎng)絡(luò)安全負(fù)責(zé)，責(zé)任范圍更廣了，尤其是《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)出來(lái)后，如果汽車發(fā)生網(wǎng)絡(luò)安全問(wèn)題，作為智能網(wǎng)聯(lián)汽車運(yùn)營(yíng)者的車廠也要受到處罰。所以更需要汽車企業(yè)考慮怎么把安全真正的做好。

Q：隨著智能網(wǎng)聯(lián)時(shí)代的到來(lái)，車聯(lián)網(wǎng)安全形勢(shì)更加嚴(yán)峻復(fù)雜，哪些方面的安全問(wèn)題最應(yīng)該關(guān)注？

嚴(yán)敏睿：車端安全和云端安全都是廠商要關(guān)注的點(diǎn)，兩個(gè)端面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和失陷后的影響都各不相同。在最近一段時(shí)間，車企主要面臨的還是云端安全的問(wèn)題。

首先云端面臨的絕大多數(shù)都是傳統(tǒng)網(wǎng)絡(luò)安全就存在的問(wèn)題；在車聯(lián)網(wǎng)之前，車企本身的辦公網(wǎng)、經(jīng)銷商網(wǎng)就會(huì)面臨這些風(fēng)險(xiǎn)，現(xiàn)在更是引入到車聯(lián)網(wǎng)這個(gè)豐富的業(yè)務(wù)場(chǎng)景，增加了更多的攻擊面和影響面；

其次車聯(lián)網(wǎng)的云端失陷后造成的影響也是非常大的，因?yàn)楹芏嗑邆滠嚶?lián)網(wǎng)功能的智能汽車都具備遠(yuǎn)程控制和OTA升級(jí)功能，比如遠(yuǎn)程控制開(kāi)門(mén)和啟動(dòng)引擎，又或者通過(guò)升級(jí)功能下發(fā)惡意程序。而絕大多數(shù)的黑客都喜歡針對(duì)云端進(jìn)行攻擊，因?yàn)楣粼贫说挠绊懨媸亲畲蟮?，一旦控制了云端，幾乎就可以控制車企下面所有的車型?/p>

車端面臨的攻擊總量上來(lái)說(shuō)肯定是會(huì)比云端少的，但是針對(duì)車端的攻擊會(huì)更有針對(duì)性和目的性，尤其是自動(dòng)駕駛級(jí)別逐步提高，針對(duì)車端的攻擊會(huì)更直接的影響到車輛的轉(zhuǎn)向和動(dòng)力系統(tǒng)。

Q：智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)鏈條比較長(zhǎng)，具體來(lái)說(shuō)做安全的主要難點(diǎn)在哪里？

嚴(yán)敏睿：主要安全的難點(diǎn)在于難以統(tǒng)一協(xié)調(diào)產(chǎn)業(yè)鏈各級(jí)都達(dá)到一個(gè)較高的安全能力；從智能網(wǎng)聯(lián)汽車的設(shè)計(jì)研發(fā)到銷售運(yùn)營(yíng)，涉及多種不同類型的公司，安全的短板理論導(dǎo)致只要其中任何一環(huán)存在安全問(wèn)題，就會(huì)影響到產(chǎn)業(yè)鏈上下游，這就需要其中各個(gè)供應(yīng)商、制造商、分銷商都能達(dá)到一個(gè)較為統(tǒng)一的安全能力水平。

另外一方面，車企生產(chǎn)制造整個(gè)產(chǎn)業(yè)供應(yīng)鏈鏈條過(guò)長(zhǎng)；車企只能管到Tier1或者Tier2兩級(jí)供應(yīng)商，而供應(yīng)商下面還有供應(yīng)商，車企很難知道其Tier N的安全水平如何，以及其如何實(shí)現(xiàn)車企提出的安全要求，這就會(huì)導(dǎo)致上下游的安全水平和能力層次不齊。

Q：汽車廠商到底是自建安全還是采購(gòu)安全產(chǎn)品？

嚴(yán)敏睿：小型的傳統(tǒng)制造企業(yè)沒(méi)有能力建設(shè)自己的網(wǎng)絡(luò)安全團(tuán)隊(duì)。因?yàn)檫@些企業(yè)一個(gè)月可能就賣幾百輛車，活下去都是問(wèn)題，能夠用來(lái)投入網(wǎng)絡(luò)安全方面的資金就更少了。

2018年的時(shí)候，國(guó)內(nèi)一些頭部的汽車企業(yè)，能做汽車網(wǎng)絡(luò)安全的人一只手就能數(shù)過(guò)來(lái)，有的甚至1個(gè)能做網(wǎng)絡(luò)安全的人都沒(méi)有。因?yàn)槠嚢踩慕ㄔO(shè)對(duì)于人才的要求比較高，首先得具備汽車相關(guān)的知識(shí)背景，例如車輛工程；其次是得懂網(wǎng)絡(luò)安全的計(jì)算機(jī)人才。而這兩方面復(fù)合型人才少之又少。

中小型汽車企業(yè)根本招不到這樣的人，即便有這樣的人才，他們也都會(huì)選擇頭部企業(yè)，因此中小企業(yè)大多選擇采購(gòu)第三方的安全方案。

對(duì)于大的汽車廠商來(lái)說(shuō)，他們有實(shí)力自建安全體系，而且也是必須要建的。隨著智能汽車時(shí)代的到來(lái)，車輛在交付給用戶以后，還需要做持續(xù)化運(yùn)營(yíng)保障好車主的安全。

Q：傳統(tǒng)ICT領(lǐng)域的網(wǎng)絡(luò)安全防護(hù)理念是否可以直接平移到車端？

嚴(yán)敏睿：針對(duì)傳統(tǒng)網(wǎng)絡(luò)，例如云平臺(tái)、企業(yè)網(wǎng)、生產(chǎn)網(wǎng)來(lái)說(shuō)，大部分針對(duì)于傳統(tǒng)IT安全的防護(hù)手段，包括防火墻、數(shù)據(jù)保護(hù)、終端防護(hù)等防護(hù)手段，其實(shí)和傳統(tǒng)的企業(yè)安全防護(hù)沒(méi)什么不同。

但是從車端的角度來(lái)說(shuō)，它跟傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)是完全不一樣的，車端安全沒(méi)有其他領(lǐng)域可直接參考復(fù)制的。例如，車載網(wǎng)絡(luò)不是傳統(tǒng)的以太網(wǎng)，包括CAN控制器局域網(wǎng)、車載以太網(wǎng)這些是車輛獨(dú)有特性的通信網(wǎng)絡(luò)，必須要有專門(mén)的方案去做，不是把傳統(tǒng)的IT的東西直接拿來(lái)就可以用的。其次車端的操作系統(tǒng)也有所不同，個(gè)人我們一般都用 Windows或者Linux，但是車端既有深度定制化的Android系統(tǒng)，也有商業(yè)實(shí)時(shí)操作系統(tǒng)QNX、VxWorks等，針對(duì)不同操作系統(tǒng)，保護(hù)的重點(diǎn)和方式也各有特點(diǎn)。其中既有對(duì)計(jì)算能力要求特別高的自動(dòng)駕駛系統(tǒng)、車載娛樂(lè)影音系統(tǒng)，同時(shí)也包括一些計(jì)算能力較差的控制器之類的電子設(shè)備，所涉及到的技術(shù)架構(gòu)十分多樣化，因此傳統(tǒng)ICT網(wǎng)絡(luò)里面的技術(shù)手段往往在車端應(yīng)用存在極大的困難。

很多廠商會(huì)把傳統(tǒng)的一些概念的東西直接搬到車上來(lái)，其實(shí)很多東西并不適用于車上的這些場(chǎng)景。360主要關(guān)注的就是汽車特性的東西，研究車端安全的案例比較多一些，因?yàn)閭鹘y(tǒng)安全的東西大部分已經(jīng)都做過(guò)了，我們就盡可能多做一些針對(duì)性的防護(hù)。

Q：汽車安全建設(shè)是一個(gè)系統(tǒng)性的工程，主要包括哪些方面的安全建設(shè)？

嚴(yán)敏睿：從管理體系來(lái)說(shuō)，有信息安全管理體系認(rèn)證ISO27001、汽車功能安全標(biāo)準(zhǔn)ISO 26262、ISO21434汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)等，企業(yè)需要按照這套標(biāo)準(zhǔn)去落實(shí)一套管理體系，這些標(biāo)準(zhǔn)就要求企業(yè)必須具備一套相應(yīng)的制度、人員、流程、結(jié)構(gòu)。

舉例來(lái)說(shuō)，如果現(xiàn)在一個(gè)汽車廠商找我們做全程的汽車安全防護(hù)。

第一個(gè)階段：我們首先要了解企業(yè)安全現(xiàn)狀，比如現(xiàn)有的組織架構(gòu)、產(chǎn)品研發(fā)流程等，這塊更多是體系建設(shè)，從體系流程角度把各個(gè)節(jié)點(diǎn)管理起來(lái)。因?yàn)閺能囕v的設(shè)計(jì)研發(fā)乃至到后面的運(yùn)營(yíng)，都需要有一個(gè)標(biāo)準(zhǔn)化的管理流程，假如以后技術(shù)上出現(xiàn)了問(wèn)題，也知道從哪個(gè)流程和環(huán)節(jié)找病癥。

第二個(gè)階段：體系建設(shè)完畢之后，就需要把體系流程真實(shí)的跑起來(lái)，從最開(kāi)始的概念設(shè)計(jì)到生產(chǎn)制造再到運(yùn)營(yíng)，整個(gè)生命周期階段是怎么處理的？應(yīng)該考慮哪些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)？用什么樣的技術(shù)手段解決這些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，然后按照設(shè)計(jì)文檔生產(chǎn)出來(lái)，并驗(yàn)證相對(duì)應(yīng)的安全功能有沒(méi)有被正確的開(kāi)發(fā)出來(lái)。這就相當(dāng)于在概念設(shè)計(jì)階段就把網(wǎng)絡(luò)安全放到車?yán)锪?，梳理你的車有哪些功能，比如針?duì)車機(jī)、自動(dòng)駕駛系統(tǒng)做哪些防護(hù)，從需求就開(kāi)始導(dǎo)入，如果車輛已經(jīng)設(shè)計(jì)出來(lái)，后面階段就沒(méi)法修改了，針對(duì)硬件的改動(dòng)幾乎不太可能。

第三個(gè)階段是車輛上路以后的運(yùn)營(yíng)階段。在這個(gè)階段，需要隨時(shí)監(jiān)控車輛是否遭受攻擊，并收集安全相關(guān)的數(shù)據(jù)。同時(shí)，需要及時(shí)跟進(jìn)網(wǎng)絡(luò)上的新安全事件和漏洞，并提供升級(jí)和修復(fù)包，以保障車輛的安全。安全防護(hù)是一個(gè)持續(xù)運(yùn)營(yíng)的過(guò)程。

Q：目前很多汽車企業(yè)在安全方面貼著合規(guī)需求做，有錢(qián)做營(yíng)銷沒(méi)錢(qián)做安全為什么？

嚴(yán)敏睿：首先，安全往往不是一個(gè)普遍意義上降本增效的事情，即使它的確會(huì)帶來(lái)無(wú)形收益，但很多汽車廠商初期也不愿意投入太多，有時(shí)候就把一些傳統(tǒng)ICT的東西直接平移過(guò)來(lái)，其實(shí)對(duì)于汽車的特性和場(chǎng)景的安全根本沒(méi)用，目前而言，車企對(duì)于安全的需求大部分都只是滿足合規(guī)需求；

其次，很多所謂的安全廠商都在汽車安全市場(chǎng)攪局，大家不知道哪個(gè)真的哪個(gè)假的，同時(shí)也因?yàn)槠囆袠I(yè)“最低價(jià)中標(biāo)”的現(xiàn)象，誰(shuí)家的價(jià)格低就用誰(shuí)家的，但是真正的安全能力就要打一個(gè)問(wèn)號(hào)了，因?yàn)閺?到1搭建自身安全能力是一件高成本的事情。

Q：解決汽車企業(yè)安全投入少，有哪些方式？

嚴(yán)敏睿：網(wǎng)絡(luò)安全就不是一個(gè)普遍意義上降本增效的東西，我們可以通過(guò)一些手段是可能通過(guò)使得它變成一個(gè)降本增效的東西。比如通過(guò)排名、評(píng)分去倒逼車企去增加網(wǎng)絡(luò)安全預(yù)算，還可以舉辦一些車聯(lián)網(wǎng)的安全演練，然后通過(guò)這種方式對(duì)汽車進(jìn)行排名，通過(guò)C端來(lái)倒逼車企增加投入。

Q：汽車越來(lái)越智能，隨之而來(lái)的數(shù)據(jù)風(fēng)險(xiǎn)也越發(fā)突出。目前車企做數(shù)據(jù)安全的困境在哪里？

嚴(yán)敏睿：隨著智能網(wǎng)聯(lián)汽車技術(shù)的快速發(fā)展，汽車的數(shù)據(jù)量也在爆炸式增長(zhǎng),車載數(shù)據(jù)、用戶數(shù)據(jù)、測(cè)繪數(shù)據(jù)、云數(shù)據(jù)等都匯聚于智能網(wǎng)聯(lián)汽車之中。車企在數(shù)據(jù)安全上面臨的困境一個(gè)是數(shù)據(jù)安全意識(shí)不足。許多車企對(duì)數(shù)據(jù)安全重視不夠,沒(méi)有建立健全的數(shù)據(jù)安全管理制度和機(jī)制,數(shù)據(jù)安全投入不足。

其次是數(shù)據(jù)安全技術(shù)力量不夠，管理數(shù)據(jù)安全風(fēng)險(xiǎn)具有較強(qiáng)的技術(shù)儲(chǔ)備和積累,但現(xiàn)實(shí)中許多車企在數(shù)據(jù)安全方面的技術(shù)力量較為薄弱。再者數(shù)據(jù)安全標(biāo)準(zhǔn)不統(tǒng)一，目前國(guó)內(nèi)外在智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全標(biāo)準(zhǔn)方面還沒(méi)有建立統(tǒng)一的標(biāo)準(zhǔn),各車企針對(duì)數(shù)據(jù)安全標(biāo)準(zhǔn)和要求都不太相同,導(dǎo)致數(shù)據(jù)安全管理難度加大。然后數(shù)據(jù)共享機(jī)制不完善。智能網(wǎng)聯(lián)汽車涉及眾多數(shù)據(jù),需要汽車企業(yè)、互聯(lián)網(wǎng)企業(yè)、地圖企業(yè)等多方的數(shù)據(jù)共享,但現(xiàn)有的數(shù)據(jù)共享機(jī)制不夠成熟和完善,導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)加大。

最后數(shù)據(jù)安全管理責(zé)任不明確。在智能網(wǎng)聯(lián)汽車數(shù)據(jù)涉及車企、互聯(lián)網(wǎng)企業(yè)、測(cè)繪企業(yè)等多方,但各方在數(shù)據(jù)安全管理責(zé)任上不夠明確,容易出現(xiàn)“踢皮球”,導(dǎo)致數(shù)據(jù)安全漏洞出現(xiàn)但無(wú)人負(fù)責(zé)。

Q：對(duì)于汽車攝像頭采集的數(shù)據(jù)，目前涉及到的相關(guān)車企、圖商面對(duì)這些數(shù)據(jù)是如何做的？

嚴(yán)敏睿：可以分為兩個(gè)方面：第一是從圖商的角度來(lái)說(shuō)，因?yàn)楸旧韲?guó)內(nèi)能做高清地圖的廠商也就那么幾個(gè)資質(zhì)的，所以他們針對(duì)這塊數(shù)據(jù)要求會(huì)比較高，比如車企使用我的數(shù)據(jù)，要求你對(duì)我這些數(shù)據(jù)的存儲(chǔ)、傳輸、使用達(dá)到一個(gè)什么樣的要求，比如存儲(chǔ)到一個(gè)安全的存儲(chǔ)區(qū)域，一旦發(fā)生數(shù)據(jù)泄露進(jìn)行什么樣的處罰。

第二是地理測(cè)繪的時(shí)空數(shù)據(jù)的角度，針對(duì)于各種不同精度的數(shù)據(jù)，國(guó)家有要求對(duì)其進(jìn)行分級(jí)分類，并按照不同的安全要求進(jìn)行落實(shí)。

Q：汽車工程數(shù)據(jù)和個(gè)人數(shù)據(jù)，哪一個(gè)泄漏影響更嚴(yán)重一些？

嚴(yán)敏睿：其實(shí)都比較嚴(yán)重，因?yàn)楸旧砦覀円紤]量的一個(gè)東西，就是個(gè)人數(shù)據(jù)一旦達(dá)到一個(gè)量級(jí)以后，那就是國(guó)家定義的重要數(shù)據(jù)。重要數(shù)據(jù)的話就會(huì)影響各個(gè)方面，包括政治安全、經(jīng)濟(jì)安全、人身安全，還有國(guó)家安全，包括人臉信息泄露或者身份信息泄露，都會(huì)造成一個(gè)比較大的影響。如果汽車的生產(chǎn)制造方面的一些數(shù)據(jù)泄漏，那針對(duì)車企的影響就比較大，一方面是車企涉及核心商密的內(nèi)容，另一方面是給攻擊者提供了更好的攻擊思路?？偟膩?lái)說(shuō)，兩者都重要，都會(huì)造成比較嚴(yán)重的影響。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。