撰文 / 牛一龍

編輯 / 黃大路

設計 / 師 超

一年前，德國計算機科學家發(fā)現(xiàn)，通過暫時降低行車電腦的電壓可以生成一個漏洞，從而進入特斯拉的操作系統(tǒng)，解鎖座椅加熱等功能，并能訪問車主的敏感數(shù)據(jù)。這些德國人與特斯拉分享了這個漏洞，特斯拉后來也修復了這個問題。

西班牙《阿貝賽報》8月15日報道說，汽車黑客可能會讓人聯(lián)想到在高速公路行駛途中剎車、遙控方向盤或以解鎖車門為交換條件進行勒索，但實際情況更接近于竊取和出售個人信息及財務信息，其中大都與各汽車品牌銷售的車載互聯(lián)服務有關。安裝在汽車多媒體系統(tǒng)中的每一個新應用程序都有可能成為黑客進入系統(tǒng)的入口，第三方的參與則放大了這種風險，而第三方的參與在汽車軟硬件的開發(fā)中越來越常見。最突出的例子就是特斯拉，其行車電腦的處理器由超威半導體公司制造。

2023年，通過天狼星-XM廣播公司的連接服務系統(tǒng)，一位計算機安全研究人員成功進入了多輛本田、日產(chǎn)、謳歌和英菲尼迪汽車的行車電腦。

實際上，有關智能網(wǎng)聯(lián)汽車已經(jīng)發(fā)生了多起相關安全事件，國內(nèi)外都有。在國外，從2019年開始就有車企受到一些攻擊，造成一些用戶隱私數(shù)據(jù)方面的丟失。

在國內(nèi)，多起車企遭受攻擊，造成個人信息泄露方面的一些案例，比如某車企之前因為脫庫的事件造成大量個人信息丟失，從這些事件開始，國家在汽車行業(yè)方面數(shù)據(jù)安全領域方面監(jiān)管的政策越來越趨向趨勢從嚴，進入強監(jiān)管的時代。

目前在“車路云一體化”發(fā)展的過程中，汽車行業(yè)面臨的風險不僅是車機端可能發(fā)生的攻擊，同時路側的設備，以及在進行V2X通信方式模式之下，有可能成為下一個攻擊的一些途徑或者是要點。

中國汽研北京院數(shù)據(jù)安全技術主任宋希在8月17日舉行的第四屆沈陽智能網(wǎng)聯(lián)大會上舉例，比如說相應的路側設備，有可能會遭受一些劫持，或者是對于我們傳輸通道進行一些攻擊，獲取我們在傳輸過程中的重要數(shù)據(jù)。其實都有可能對于未來發(fā)展的技術，或者是本身在車路云模式下安全駕駛造成非常嚴重的影響。

此次大會為此專門設立車路云一體安全論壇。與會專家指出，隨著智能網(wǎng)聯(lián)汽車的發(fā)展和應用，車路云一體化發(fā)展的進程下，數(shù)據(jù)成為車路云協(xié)同計算關鍵的生產(chǎn)要素，與此同時，汽車數(shù)據(jù)安全的攻擊路徑逐漸變多。

國家工業(yè)信息安全發(fā)展研究中心數(shù)據(jù)安全所最近實時監(jiān)測工業(yè)領域數(shù)據(jù)安全風險情況，發(fā)現(xiàn)汽車和醫(yī)療是當前在數(shù)據(jù)泄露，包括數(shù)據(jù)在暗網(wǎng)交易等風險，而汽車屬于比較突出的行業(yè)，針對車企數(shù)據(jù)的勒索、數(shù)據(jù)的泄露、數(shù)據(jù)暗網(wǎng)交易的風險和事件頻繁發(fā)生。

據(jù)工業(yè)和信息化領域數(shù)據(jù)安全風險信息報送共享平臺統(tǒng)計，2023年發(fā)現(xiàn)了汽車行業(yè)的數(shù)據(jù)安全風險達到281起——這里所說只是風險——并不一定是真正釀成實際的數(shù)據(jù)泄露或者是數(shù)據(jù)交易的事件，比2022年整體上升了251%。

由工信部運營、國家工業(yè)信息安全發(fā)展研究中心具體進行運營的風險信息報送共享平臺，每年會收集和處理工業(yè)和信息化領域，包括車企數(shù)據(jù)安全的風險。

2023年上半年，汽車領域的網(wǎng)絡趨勢報告提到，汽車行業(yè)的數(shù)據(jù)泄露事件占汽車安全事件總數(shù)的37%，數(shù)據(jù)泄露的風險在逐年攀升。

為此，中國從頂層的法律制度到具體的標準都在逐步細化和完善數(shù)據(jù)安全，而《數(shù)據(jù)安全法》賦予各個行業(yè)數(shù)據(jù)安全監(jiān)管的職責，具體到汽車領域，涉及到監(jiān)管部門非常多。與醫(yī)療、教育、交通領域區(qū)別比較大的是，汽車既涉及到車輛制造，涉及到工信部的監(jiān)管，同時車上路會涉及到交通部，還有地圖數(shù)據(jù)、測繪數(shù)據(jù)，會涉及到自然資源部對的監(jiān)管，此外還有網(wǎng)絡會涉及到網(wǎng)信辦。對于車企來說，在數(shù)據(jù)安全領域涉及到的監(jiān)管部門非常之多。

畢馬威中國管理咨詢總監(jiān)鄔敏華認為，對安全來說，首先是沒有絕對的安全，第二網(wǎng)絡安全也好、數(shù)據(jù)安全也好，其實本質(zhì)從人性的角度來看，是有一個“利”字在里面，如果沒有利，即使說有漏洞，有脆弱性，也不會被別人利用，因為沒有利，沒有可以覬覦的資產(chǎn)和價值。

他認為，站在安全的角度，數(shù)據(jù)安全也好、網(wǎng)絡安全也好，肯定是不可忽視的，是一個復雜的系統(tǒng)，從做網(wǎng)絡安全木桶原理來看，任何一個短板有可能造成最大損失，因為這個商業(yè)閉環(huán)還沒有形成，也沒有必要去夸大它存在的風險，需要正視它，不用把網(wǎng)絡安全過于妖魔化，反過來應該分清楚真正應該做的事情第一步做的事情是什么，要有務實的態(tài)度來對待網(wǎng)絡安全。

“漏洞本來就是莫須有的東西，看不了摸不著，真出了問題，OTA一下，手機行業(yè)還不是這么過來的?！币晃灰竽涿男袠I(yè)專家告訴汽車商業(yè)評論，在當前勒緊褲腰帶過日子的時候，大部分企業(yè)不愿意在這方面花錢。

上述這位專家指出，“最可怕的事情不是這個，是當年殺毒軟件的邏輯。殺毒軟件為了提升市場銷量，自己拼命研發(fā)病毒?！?/p>