信息安全成为社会性关注的话题,汽车进入智能网联的发展阶段,汽车俨然成为了新的移动终端,甚至被定义成了生活的第三空间。近年来,关于汽车信息安全的话题和风险的暴露,引发了公众的关注,那究竟什么是汽车信息安全?它对于我们而言意味着什么?我们要怎么样防范?
本次籍着全球工业互联网大会智能网联汽车高峰论坛,采访到了东软集团网络安全事业部副总经理陈静相,并针对智能网联汽车信息安全探索与实践进行了深入的讨论。
东软始终关注汽车信息安全问题
陈静相表示,“随着近两年汽车进入新四化的发展阶段,软件成为汽车的重要价值所在,而且未来的价值会越来越大。伴随着客户的需求变化,东软也开始专注于汽车下一代软件的能力延展。”
东软在与众多汽车品牌的交流合作中,始终关注汽车信息安全,也有越来越多的客户提出了汽车信息安全的需求,这是汽车未来发展的必然趋势。所以,东软比较早就开始在汽车信息安全领域积极探索和实践。
陈静相表示,“现在越来越多的汽车厂商主动与东软开展战略合作,包括前期的整车定义架构,汽车信息安全,合规措施保障,以及出口涉及的信息安全相关法规等等。”
信息安全的标准化发展是必然趋势
新四化是汽车产业发展的一个重要里程碑,是汽车产业的巨大变革,信息安全作为智能网联汽车发展的基础关键技术,也从“幕后”走到了“台前”。
中国作为汽车大国,新能源车发展迅速,出口需求快速增长,这其中都会遇到信息安全问题,包括欧盟法规、日本法规等,信息安全必须做到合规才能在海外售卖,而国内近两年也在密集性地推出相应的政策法规,规范信息安全。
4月29日,全国信息安全标准化技术委员会发布《信息安全技术网联汽车采集数据的安全要求(草案)》。6月21日,工信部发布《车联网(智能网联汽车)网络安全标准体系建设指南》并公开征求意见。8月12日,工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》。8月16日,网信办、发改委、工信部、公安部、交通运输部公布《汽车数据安全管理若干规定(试行)》
其中《汽车数据安全管理若干规定》的出台让汽车行业的数据安全有了遵循依据,更给了广大用户一颗安心驾驶的定心丸。《规定》界定了汽车数据和监管主体,提出了4项推荐的数据处理原则,同时明确了数据处理者的义务,并制定跨境数据传输规则,初步建立起中国汽车数据安全的合规框架。
《规定》首次对“汽车数据处理者”和“重要数据”类型等内容做了清晰的界定。如“汽车数据处理者”不仅限于惯性认知中的汽车制造商、零部件和软件供应商等,还包括经销商、维修机构以及出行服务企业。同时,《规定》落实了年度报告制度,汽车数据处理者应当按时主动报送年度汽车数据安全管理情况,这意味着国家的监管力度已经更强,向系统化管理迈出重要一步。
信息安全是一个隐含的事件
近两年的汽车信息安全引发的舆论争议,确实能够让我们感受到信息安全的真切存在,但实际上,却难以完整准确地阐述,它究竟是什么,以什么样的方式存在。
在采访的过程当中,陈静相谈到了汽车信息安全的“隐含性”,“信息安全是一个隐含的事件,信息安全跟功能不太一样,比如智能网联的功能是可见其所得,你很容易通过你的感官能感受到,信息安全是隐含的,是没法通过一个具体的实施,你就能感受到安全,就能保证它安全,因此从整车的研发研制,生产和使用的全生命周期都要关注信息安全。”
信息安全的体系、技术和责任要三手抓
上述也讲到,信息安全贯穿了汽车的整个生命周期,当然它并不是每个环节都要做,而是需要一套严格流程体系,才能实现汽车的信息安全。
在参与定制体系流程中,陈静相介绍道,“东软与很多专家一起参加ISO21434(汽车网络安全标准),这是汽车领域的第一个信息安全相关的ISO标准,它提供了非常完整的方法论支撑,从流程上订立了哪些应该关注,怎么去关注,关注哪些层面。因此,安全是一个管理,而标准就是管理方法的依据。”
除了有体系的指导之外,陈静相还强调了技术手段的重要性,譬如前期进行整个需求设置的时候需要有对应的威胁分析能力、资产识别能力;而在车辆在运行过程中,需要有主动防护技术;而在车辆已经在售卖的过程,需要有应急响应能力。这些能力需要赋予到整个流程体系的每个环节中,才能有的放矢地保证信息安全的建设。
上述谈到的都是体系和技术手段,但能够让信息安全持续健康发展,陈静相认为最重要的还是主体的责任意识,“信息安全是个对抗的过程,它在不断地发展,技术和体系也会不断迭代。因此主体要对信息安全有足够的关注和重视,并且有明确的责任担当。”
智能网联汽车给行业发展带来了巨大的空间,消费者在汽车上能获得的价值与之倍增,同时暴露出信息安全风险,需要行业汽车人们的共同努力。在软件定义汽车的时代,东软依靠自身在汽车软件的技术优势,率先提出了信息安全等关键领域的产品、整体解决方案和服务,为汽车行业发展做出贡献。