“安全是最大的豪華，隱私是至上的尊貴?！庇喑袞|的名言，并非僅“遙遙領(lǐng)先”一句。

隨著智能汽車時代的到來，車輛的定義已然發(fā)生了變化。汽車不再僅僅是出行工具，而是成為了如手機一般的數(shù)字產(chǎn)品。

數(shù)據(jù)安全，也成為用戶購車時考慮的重要因素之一。

《廣州日報》發(fā)起的一項針對智能車的調(diào)研顯示，除了品牌、外觀、價格、續(xù)航因素，43%的用戶已將系統(tǒng)安全性/數(shù)據(jù)隱私納為購車的首要考慮因素。

與之相應(yīng)的，是車企對數(shù)據(jù)安全的重視也與日俱增。

比如華為在問界M9上市時提出的“隱私是至上的尊貴”。

上汽集團(tuán)則提出“網(wǎng)絡(luò)和數(shù)據(jù)安全是智能網(wǎng)聯(lián)汽車基石，網(wǎng)絡(luò)和數(shù)據(jù)安全關(guān)乎企業(yè)生存、關(guān)乎企業(yè)發(fā)展”的口號，并將其上升到集團(tuán)戰(zhàn)略的高度。

極氪同樣在數(shù)據(jù)安全方面投入良多，在獲得國際標(biāo)準(zhǔn)、測試及認(rèn)證機構(gòu)BSI授予的三項信息安全管理體系相關(guān)認(rèn)證的同時，極氪還參與了我國首個汽車數(shù)據(jù)安全標(biāo)準(zhǔn)《信息安全技術(shù)汽車數(shù)據(jù)處理安全要求》的編寫。該標(biāo)準(zhǔn)已于2022年正式發(fā)布。

不過，從整體發(fā)展情況來看，現(xiàn)階段車企針對汽車數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的探索仍處于初期階段，企業(yè)想要逐漸構(gòu)建自己的安全防護(hù)網(wǎng)絡(luò)體系，還需要一段時間。

有數(shù)據(jù)顯示，金融行業(yè)一般在網(wǎng)絡(luò)安全方面的研發(fā)投入可能在6%-8%之間，而當(dāng)前汽車行業(yè)的投入則普遍在2%左右。

但隨著汽車智能化發(fā)展的深化，用戶和車企的重視程度提升，數(shù)據(jù)安全對整個汽車行業(yè)的重要性已毋庸置疑。保障車輛的數(shù)據(jù)安全，正在成為汽車的新標(biāo)配。

數(shù)據(jù)安全，懸在空中的一把利刃

一輛智能網(wǎng)聯(lián)汽車配備了大量攝像頭、雷達(dá)等傳感設(shè)備，每天可收集海量數(shù)據(jù)。

據(jù)上汽集團(tuán)董事長陳虹根據(jù)相關(guān)研究機構(gòu)數(shù)據(jù)估算，一輛自動駕駛測試車輛每天產(chǎn)生的數(shù)據(jù)量最高可達(dá)10TB。除了駕乘人員的面部表情、動作、目光、聲音數(shù)據(jù)，這些數(shù)據(jù)也包括車輛地理位置、車內(nèi)及車外環(huán)境數(shù)據(jù)、車聯(lián)網(wǎng)使用數(shù)據(jù)等。

統(tǒng)計數(shù)據(jù)顯示，2023年上半年，具備輔助駕駛功能的乘用車新車銷量占比已達(dá)到42.4%，比上年同期增長近10個百分點。

智能化作為新汽車的下半場，已步上正軌。

根據(jù)預(yù)測，到2025年，具備L2級輔助駕駛功能的乘用車滲透率將超過70%，每年上傳云端的數(shù)據(jù)將超過7萬PB。

而隨著大模型的上車，以及智能駕駛能力的提升，智能汽車涉及的數(shù)據(jù)量更將迎來爆發(fā)式的增長。

如此龐大的數(shù)據(jù)量，也意味著以數(shù)據(jù)驅(qū)動的智能網(wǎng)聯(lián)汽車，需要頻繁面對數(shù)據(jù)泄漏、網(wǎng)絡(luò)攻擊等安全隱患問題。2022年，曾有汽車博主分享過一段視頻，視頻內(nèi)容顯示，其駕駛車輛的行車記錄儀能查看同車型列表，并可直接調(diào)取它們的行車記錄儀畫面觀看。這在當(dāng)時引起了行業(yè)熱議。車主的行車記錄儀內(nèi)容能被其他人看到，這是否侵犯了消費者隱私？

同年，有車企遭遇郵件勒索，攻擊方稱已竊取到其內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)為要挾，要求企業(yè)支付高額比特幣。

工信部車聯(lián)網(wǎng)動態(tài)監(jiān)測顯示，2020年以來，汽車行業(yè)針對整車企業(yè)、車聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)的惡意攻擊事件達(dá)到280萬余次。

2023年初至今，就已發(fā)生過20起與車企相關(guān)的大規(guī)模數(shù)據(jù)泄露事件，泄露數(shù)據(jù)涉及企業(yè)內(nèi)部業(yè)務(wù)、車輛駕駛、用戶隱私等眾多數(shù)據(jù)。

過去5年中，全球汽車行業(yè)因網(wǎng)絡(luò)攻擊造成的數(shù)據(jù)泄漏損失超過5000億美元，比金融行業(yè)更高。

在這樣的背景下，用戶將隱私安全作為一種期待，車企將數(shù)據(jù)合規(guī)作為銷售的賣點，也成為自然而然的結(jié)果。

蔚來數(shù)據(jù)合規(guī)及反壟斷法務(wù)負(fù)責(zé)人王詩筍表示，最初，汽車的基本功能是將人安全地從a點送到b點，在這個場景中，乘客的期待自然是車要可靠，即車輛是可控的。

而今天的智能網(wǎng)聯(lián)汽車許多功能都由數(shù)據(jù)驅(qū)動，因此，對用戶來說，對于車輛可控的期待，自然也包括了對隱私安全、數(shù)據(jù)合規(guī)的期待。

騰訊安全數(shù)據(jù)安全產(chǎn)品總監(jiān)徐展同樣認(rèn)為，對消費者來說，今天的智能網(wǎng)聯(lián)汽車有一部分信息是不可控的。既然讓渡了部分?jǐn)?shù)據(jù)的使用權(quán)，消費者的期待自然是希望車企用自己的數(shù)據(jù)提供更好的服務(wù)，而不是泄露數(shù)據(jù)對自己造成一些風(fēng)險。

在智能汽車時代，數(shù)據(jù)安全的重要性正在與日俱增。

為此，國家也推出多項法律條款，對企業(yè)在數(shù)據(jù)安全和隱私保護(hù)等方面提出了要求。

2021年10月1日，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》正式施行；2022年2月，工信部下發(fā)《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》；2023年7月，《汽車整車信息安全技術(shù)要求》等四項“強標(biāo)”也完成征集意見稿，即將進(jìn)入正式發(fā)布。

有得有失，車企在摸索前進(jìn)

車企在數(shù)據(jù)安全防護(hù)方面，做的如何？

電動汽車百人會車百智庫聯(lián)合騰訊云對多家車企進(jìn)行了一項調(diào)查，并推出《智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全年度洞察（2023）——企業(yè)免疫力建設(shè)》報告，就當(dāng)前汽車行業(yè)的數(shù)據(jù)安全問題進(jìn)行了詳細(xì)解讀。

根據(jù)報告，目前，多數(shù)車企憑借多年在信息化技術(shù)的投入和應(yīng)用，以及與第三方安全服務(wù)企業(yè)的合作，在數(shù)據(jù)安全治理、邊界安全、端點安全和安全運營方面已經(jīng)形成了較為完善的管理和技術(shù)體系，但在應(yīng)用開發(fā)安全上還存在短板。

目前，80%以上的整車企業(yè)都自建了數(shù)據(jù)安全團(tuán)隊，并配備足夠的安全人員。如長城汽車由法務(wù)、IT聯(lián)合組建了數(shù)據(jù)合規(guī)辦公室，各業(yè)務(wù)設(shè)置專職數(shù)據(jù)合規(guī)組織或崗位。但部分企業(yè)還流于形式。

從管理角度來看，車輛數(shù)據(jù)安全主要包括三個方面，一個是車輛本身數(shù)據(jù)，二是公民個人數(shù)據(jù)，包括人臉、聲音、圖像視頻等，三是車企從車輛設(shè)計到制造、銷售到服務(wù)的數(shù)據(jù)，也即企業(yè)的數(shù)據(jù)。

報告提出，目前關(guān)于車和人的數(shù)據(jù)已經(jīng)得到了較好的監(jiān)管，但企業(yè)相關(guān)數(shù)據(jù)的管理仍有待優(yōu)化。

邊界安全指的是通過一系列保護(hù)措施保護(hù)計算機網(wǎng)絡(luò)和系統(tǒng)的周邊區(qū)域，防止未經(jīng)授權(quán)的訪問或者攻擊。

雖然智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全邊界復(fù)雜度較傳統(tǒng)汽車更高，但整體來說，數(shù)據(jù)安全邊界風(fēng)險還是可控的。這與車企通常會采用云服務(wù)商相對成熟的安全方案不無關(guān)系。

在端點安全方面，目前汽車數(shù)據(jù)主要包括云管端三方面的安全風(fēng)險。

云端與通信端的安全防護(hù)技術(shù)與傳統(tǒng)IT信息安全防護(hù)基本一致。而在車端，目前包括安全芯片、國密算法、入侵檢測以及車機的安全衛(wèi)士等均已逐步上車應(yīng)用，但受制于車端計算資源和存儲資源的限制，車端的防護(hù)強度還有待加強。

騰訊智慧出行解決方案總經(jīng)理姚振向雷峰網(wǎng)表示，隨著現(xiàn)代汽車的日益電子化和復(fù)雜化，對智能汽車的新的攻擊面仍在不斷涌現(xiàn)，例如，今天的車機信息娛樂模塊，以及車主手機上的APP，都增加了車端被攻擊的可能。同時，車輛內(nèi)部的結(jié)構(gòu)也越來越復(fù)雜，導(dǎo)致今天的汽車數(shù)據(jù)安全問題，成為極具挑戰(zhàn)性的工作。

在安全運營方面，企業(yè)已經(jīng)形成相對完備的安全運營體系，但由于企業(yè)側(cè)本身數(shù)據(jù)價值密度大，車企自身能力不一等問題，數(shù)據(jù)泄漏的事件仍時有發(fā)生。

姚振認(rèn)為，做好數(shù)據(jù)安全管理重要的是把握用戶的體驗、成本和合規(guī)三者之間的平衡。單獨做用戶體驗或者合規(guī)都不難，但如果做得特別合規(guī)，帶來的結(jié)果可能是用戶體驗不好，或者成本批量上漲，因此，需要把握三者的平衡。

應(yīng)用開發(fā)安全指的是從開始就將合規(guī)需求嵌入到開發(fā)過程中，但由于目前很多智能化零部件依然采購自第三方供應(yīng)商，且部分代碼不向車企開放，導(dǎo)致數(shù)據(jù)安全在供應(yīng)鏈上也存在權(quán)責(zé)劃分不夠明確的情況。

這是今天汽車行業(yè)在數(shù)據(jù)安全防護(hù)上仍需面對的現(xiàn)狀。

查漏補缺，把專業(yè)的事交給專業(yè)的人

汽車數(shù)據(jù)安全的重要性提升，眾多第三方企業(yè)也開始布局?jǐn)?shù)據(jù)加密、脫敏等面向數(shù)據(jù)全生命周期的安全技術(shù)和服務(wù)。

這其中，既包括騰訊安全、360、綠盟科技等原來專注互聯(lián)網(wǎng)安全的企業(yè)，也包括專注于汽車行業(yè)的為辰信安、聯(lián)友科技等新晉廠商。

未來，第三方安全服務(wù)企業(yè)也將成為汽車產(chǎn)業(yè)內(nèi)一個重要的組成部分。

徐展認(rèn)為，作為第三方平臺，騰訊云與騰訊安全部門能夠充分發(fā)揮自身作為安全廠商的能力，并且愿意配合車企把相關(guān)安全工作做好。對車企來說，在這方面應(yīng)該是更歡迎外部力量的，而不是單純依靠內(nèi)部團(tuán)隊把安全的事情做好。

以上汽與騰訊的合作為例。

2021年4月，上汽集團(tuán)和騰訊聯(lián)合宣布將通過組建網(wǎng)絡(luò)安全聯(lián)合實驗室，圍繞智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范、攻防技術(shù)、安全研發(fā)、安全運營等領(lǐng)域開展深度合作。

在車輛的全生命周期中，上汽都明確提出了數(shù)據(jù)安全建設(shè)的要求。

例如，在汽車投產(chǎn)前，就需要對產(chǎn)品的零部件和整車，在技術(shù)和流程上，從安全設(shè)計、滲透測試、投產(chǎn)運營等方面做一系列的測試研發(fā)。

對于云端到車端的通訊鏈路，用加密方法確保上汽的鏈路不會被截斷或被中間人截取。同時，上汽對車與車之間傳輸?shù)男畔⒁步o予加密保護(hù)，保證數(shù)據(jù)的安全性和唯一性。

騰訊定位于汽車行業(yè)數(shù)字助手的身份，可以為企業(yè)提供一體化安全解決方案。

根據(jù)騰訊云的介紹，其汽車行業(yè)一體化安全解決方案包括基礎(chǔ)安全能力、車聯(lián)網(wǎng)安全能力和業(yè)務(wù)安全能力三大模塊，從開放、運營、云管端等多個維度為企業(yè)提供數(shù)據(jù)安全防護(hù)。

首先，在基礎(chǔ)安全能力方面，騰訊一體化安全解決方案可幫助車企快速構(gòu)建起基礎(chǔ)的云原生安全防線。在公有云、私有云，以及企業(yè)辦公安全等方面都提供了安全防護(hù)體系。

在車聯(lián)網(wǎng)安全方面，騰訊的車聯(lián)網(wǎng)安全檢測平臺可對車輛零部件系統(tǒng)的軟件資產(chǎn)實現(xiàn)統(tǒng)一管理。

在車輛研發(fā)階段，即支持車企盡早進(jìn)行安全介入和安全管控。在測試驗證階段，騰訊安全科恩實驗室研發(fā)的系統(tǒng)安全審計平臺sysAuditor支持系統(tǒng)級安全審計，可捕獲攻擊鏈、敏感信息等安全威脅，幫助車企減少威脅處理成本、提升測試人員安全水平、打造安全競爭能力。

騰訊科恩實驗室研究員景鵬飛以車企官方APP為例介紹了科恩實驗室在保障數(shù)據(jù)安全方面的能力。

科恩實驗室的研究員發(fā)現(xiàn)某款A(yù)PP由于安全性不佳，可逆向通過APP找到和車交互的加密算法，而且，攻擊者還能在用戶手機上得到一個已經(jīng)存好的密鑰。有了加密算法和密鑰，攻擊者就能輕松地把車開走。

發(fā)現(xiàn)漏洞后，實驗室將其報給供應(yīng)商，進(jìn)而對其進(jìn)行了及時的修復(fù)。

早在2016、2017年，科恩實驗室就分別對特斯拉Model S和Model X的網(wǎng)聯(lián)模塊進(jìn)行了深入安全研究，利用安全漏洞對特斯拉進(jìn)行無物理接觸遠(yuǎn)程攻擊，實現(xiàn)了對特斯拉駐車狀態(tài)和行駛狀態(tài)下的遠(yuǎn)程控制。

而在業(yè)務(wù)安全方面，騰訊車聯(lián)網(wǎng)運營中心可為車企提供一站式、可視化、自動化的車聯(lián)網(wǎng)安全運營管理，構(gòu)建統(tǒng)一監(jiān)測體系和靈活的響應(yīng)機制。

徐展向雷峰網(wǎng)(公眾號：雷峰網(wǎng))表示，騰訊自己有做地圖，同時也有做車內(nèi)應(yīng)用，對于數(shù)據(jù)合規(guī)有更多的認(rèn)識，而科恩實驗室在漏洞攻擊方面多年的經(jīng)驗也讓騰訊對數(shù)據(jù)安全有更多的理解，這是騰訊在汽車數(shù)據(jù)安全上獨有的優(yōu)勢。

此外，騰訊也是首家推出汽車專有云的云服務(wù)廠商。

除了與上汽集團(tuán)組建網(wǎng)絡(luò)安全聯(lián)合實驗室，騰訊安全也與如祺出行、東風(fēng)汽車等共同成立了實驗室，為企業(yè)的數(shù)據(jù)安全提供保障。

隨著數(shù)據(jù)安全在車企決策中的重要性日漸增加，對企業(yè)來說，借助第三方安全服務(wù)公司的專業(yè)能力或?qū)⑹歉玫倪x擇。

汽車的智能化時代已經(jīng)到來，消費者對數(shù)據(jù)安全、隱私安全的重視與日俱增?！半[私是至上的尊貴”，這句口號多少帶著些“遙遙領(lǐng)先”式的表達(dá)，但其傳達(dá)的是不容忽視的用戶權(quán)利與行業(yè)趨勢。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。