“不要讓智能汽車去‘裸奔’。”今年兩會,360集團董事長兼CEO周鴻禕談起智能汽車提到的最重要的問題是安全。讓出行更加便利的智能網聯汽車安全狀況到底如何?實際上,2018年幾乎可以稱為智能網聯汽車的“刷漏洞”年。3月20日,360發布《2018年智能網聯汽車信息安全年度報告》,從行業發展、安全標準規範、安全事件以及2019年發展建設建議等方面,對智能網聯汽車信息安全做了全面梳理。
“刷漏洞年”——2018全年爆發14次智能汽車信息安全事件
今年兩會,周鴻禕等互聯網大佬的兩會提案都聚焦智能汽車,技術的發展推動互聯網和汽車行業的逐漸融合,智能網聯汽車正在成為主流。360在去年的報告中預測,汽車信息安全將進入“刷漏洞”時代。不幸的是這個說法被言中了,過去的一年裡很多汽車廠商慘遭漏洞威脅,越來越多汽車相關的漏洞取得了CVE編號,攻擊面從汽車終端轉向了雲端,對汽車廠商及供應商造成了極大的影響,暴露出來的問題層出不窮。
《報告》盤點了2018年發生的14起智能網聯汽車信息安全事件,其中包括5起數據洩露事件和9起汽車破解事件。以數據洩露為例,2018年7月,包含大眾、特斯拉、豐田、福特、通用、菲亞特克萊斯勒等百餘家汽車廠商機密文件被曝光。其涉及內容從車廠發展藍圖規劃、工廠原理、製造細節,到客戶合約材料、工作計劃,再到各種保密協議文件,甚至員工的行車執照和護照的掃描件等隱私信息,共計157千兆字節,包含近47,000個文件。
這起事件背後主角是這些車廠共同的伺服器供應商,其在使用遠程數據同步工具rsync處理數據時,備份伺服器沒有限制使用者的IP地址,讓非指定客戶端也能連接,並且未設置身份驗證等用戶訪問權限,比如客戶端在接收信息前進行身份驗證等,任何人都能直接通過rsync訪問備份伺服器,這是這起事件的主要原因。
智能網聯汽車將繼續面臨數據洩露和未授權控車風險
2018年智能網聯汽車信息安全領域所發現的漏洞以及安全事件,可以看到,智能網聯汽車將物理世界與虛擬世界結合到一起,給用戶帶來更優質的體驗。但在打通物理世界與虛擬世界的同時,也面臨著虛擬世界中信息安全的風險,甚至因虛擬世界的安全問題直接影響到物理世界的安全。
《報告》預測,在2019年智能網聯汽車將持續面臨敏感數據洩露和未授權控車的風險。此兩點為智能網聯汽車安全的重中之重,也是攻擊者關注的地方。
在這樣的行業大氛圍下,整車廠商紛紛著手構建信息安全能力;各級零組件供應商在整車廠商的安全需求下,開始積極配合,設計並製造帶有信息安全功能的零組件;傳統的IT巨頭也卷入了這場信息安全浪潮,從各個角度推出信息安全解決方案。
《報告》建議相關企業,首先要防止數據洩露,保護用戶隱私。
2018年中發生多起數據洩露事件,其規模和影響都是巨大的。在大數據和雲服務的時代,加強對數據安全的考量與投入,至少從五個方面考慮數據安全:訪問控制、身份認證、數據加密與脫敏、容災備份與恢復、安全審計。
其次,智能汽車進步,控車仍在繼續,安全開發要落實。
目前汽車領域的安全手段是有所提高的,但仍存在大量車聯網、智能化的產品沒有考慮到信息安全的問題。國際或者國內的安全標準仍處於建設時期,智能網聯汽車仍處於沒有安全標準及規範的環境下,建立企業自身的信息安全標準,準守信息安全開發流程,才能在車輛上市時保障其信息安全水準,降低被攻擊的風險。
最後,建立動態安全實施監測機制,及時發現、及時處理。
汽車作為一款特殊的商品,其使用時間非常長,使得智能網聯汽車的信息安全工作成為一項長期持續的工作。將車聯網安全分析、汽車安全防禦、安全資源與安全運營融合,結合大數據、人工智能、威脅情報等技術與資源,構建動態防禦體系,對車聯網系統的關鍵部件進行安全監測與防護,可以對安全事件更高效、更精準、更及時地定位與預警。
智能網聯汽車的安全帶——360安全大腦
周鴻禕在兩會提案中提到智能網聯汽車面臨的三重威脅,第一是智能汽車存在網絡安全風險,諸多聯網系統被黑客攻擊後或危及人身安全、社會安全和國家安全。第二,智能汽車目前沒有網絡安全標準,這可能令上市的智能汽車“裸奔”;第三,智能汽車廠商自身的網絡安全問題威脅智能汽車安全。
基於多年在信息安全領域的積澱,360已涉足車聯網安全領域,推出汽車安全大腦,並入選工信部2018年工業互聯網試點示範項目。汽車安全大腦是360安全大腦在智能汽車領域的應用。汽車安全大腦體現了“軟硬兼施+動態防禦”的安全理念。
360汽車安全大腦針對汽車這個“終端”上容易遭受攻擊的點——車載聯網終端、車載中央網關、車載娛樂系統、車聯網APP等,打造了智能汽車的“裝甲”,包括終端防護軟體汽車衛士,硬體層面的“車載聯網防火牆”等。360還與紫光共同研發了汽車專用安全芯片,既從硬體層面保障安全,也能支持雲端安全策略實時更新。
目前,360是全球唯一能提供整套智能汽車安全產品方案的企業,覆蓋汽車製造的設計、開發、測試、運營各個階段,與比亞迪、長安、東風、一汽、長城、奔馳、吉利等國內外品牌汽車廠商建立了合作。目前,已有15萬多輛智能汽車連接到汽車安全大腦,預計2020年增長至100萬輛。
道路千萬條,安全第一條。在高速發展汽車智能化進程中,應該盡快重視起安全問題。“今天大家的電腦誰也不敢裸奔,手機裡也裝了安全殺毒軟體,智能汽車也應加裝網絡安全防護系統。我們要把網絡安全系統像‘安全帶’一樣列為智能汽車標配,做到智能汽車的安全、可靠、可控。”周鴻禕表示。
香港九龍灣馬來街興發大廈15樓D室