在全球能源危机以及环境问题加重的背景下,再加上汽车电子、通信技术和人工智能等技术的强势兴起,智能网联汽车正在逐步从“概念”走向落地和普及。不可否认,智能汽车会让我们的生活更加便捷、舒适,但同时伴随着的,还有层出不穷的信息安全问题。
在360近期发布的《2018智能网联汽车信息安全年度报告》(以下简称“报告”)中,360智能网联汽车安全部针对汽车信息安全市场目前存在的问题,从隐私数据、安全开发和安全监测机制三大维度出发,提出了2019年智能网联汽车信息安全建设的相关建议。
汽车信息安全事件频 发形势不容乐观
报告中提及,2018年中包括大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒、特斯拉、宝马、奥迪、斯巴鲁在内的百余家汽车厂商都遭遇了不同程度的数据泄露、“挖矿”攻击、漏洞破解等安全威胁。这些安全问题的爆发,均显示出2018年汽车信息安全形势不容乐观。
对于这些与消费者切身利益相关,对汽车厂商影响严重的信息安全问题,360在报告中详细剖析了背后的原因:目前智能网联汽车信息安全主要面临的风险来自于智能网联服务供应商本身对于信息安全认识的不到位,导致在2018年出现了多起数据泄露事件,并且由于开发流程和管理规范上的不到位,导致出现了多起汽车被破解的事件出现。
360安全大脑基于这种现状作出了未来的趋势预测:在2019年,智能网联汽车将持续面临敏感数据泄露和未授权控车的风险,这两点为智能网联汽车安全的重中之重,也是攻击者关注的地方。
汽车信息安全三部曲:数据、开发、监测
2019年,智能网联汽车将持续面临敏感数据泄露和未授权控车的风险。随着攻击目标多元化,攻击节点丰富化,安全建设情况仍不足以满足需求。为此,360在报告中提出了三点建议供相关企业参考。
其一,在大数据和云服务的时代,对于数据的保护也应成为汽车厂商、供应商、服务提供商的共同责任。对此,360建议相关企业首先从访问控制、身份认证、数据加密与脱敏、容灾备份与恢复、安全审计这五个方面加强对数据安全的考量与投入。其次,要控制网络访问和用户权限,并设置多重身份认证。最后,还要加强在数据加密、容灾措施、安全审计、异常行为检测等方面的建设。
其二,由于国际或者国内的安全标准仍处于建设时期,智能网联汽车仍处于没有安全标准及规范的环境下。因此,360建议相关企业要建立自身的信息安全标准,准守信息安全开发流程,才能在车辆上市时保障其信息安全水平,降低被攻击的风险。
其三,由于汽车作为一款特殊的商品,其使用时间非常长,使得智能网联汽车的信息安全工作成为一项长期持续的工作。因此,360建议相关企业依靠威胁情报等资源,提取汽车相关安全态势,对潜在安全问题或安全事件进行预研,提前部署相应解决对策,进一步增强智能网联汽车安全防御能力。
互联网安全已发展十几年,计算机和手机安全威胁已在诸多网络安全专家的努力下趋缓,但在智能网联汽车领域,信息安全仍处于起步阶段,安全软肋极为明显。为此,不论是老牌厂商还是造车新势力,或是如360一样的网络安全厂商,都应当从软件、硬件、安全技术等层面达成强强联合,进行防御,以保障智能网联汽车的信息安全。
