伴随汽车智能化、网联化的快速发展,以及应用场景的不断丰富,智能汽车正在成为深度收集、处理、传输和使用大量包含个人信息、汽车运行数据和环境数据的可移动、可交互的汽车数据枢纽,以汽车数据为核心的新安全问题也日益凸显,汽车数据安全事件频发。2022年下半年,某车企的部分用户基本信息和车辆销售信息被黑客窃取,并以此遭受巨额勒索。2023年初,由于第三方供应商数据库问题,导致某公司大量客户数据发生泄露。![]()
数据泄露使得企业蒙受重大损失,汽车数据安全逐渐成为关系到整个车联网产业健康良性发展的重要话题。近年来,我国已经制定并开始实施《中华人民共和国网络安全法》、《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》等数据保护领域的重要法律。汽车行业相关部委也在不断加强监管和保护,2021年7月,国家互联网信息办公室公布《汽车数据安全管理若干规定(试行)》,首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容,同年8月,工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,明确企业应当建立健全汽车数据安全管理制度,建立数据资产管理台账,实施数据分类分级管理,建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。企业需要满足相关部委合规监管要求,健康合理发展产业。企业在面临数据安全合规的重点,应为如何做好数据安全体系建设以及数据安全风险检测以确保数据安全治理工作的常态化执行,需要在数据合规评估、安全体系建设咨询、数据跨境安全测评等方面着重加强。一. 合规评估
数据安全合规评估是企业数据安全建设的首要工作,企业需针对其数据信息系统承载的业务及相关系统数据资产展开评估。具体实践应围绕满足监管要求及业务需求展开,从组织建设、制度流程、人员能力、技术工具等方位进行全面的检测和评估,从而掌握数据在全生命周期各个过程中的风险,消除数据安全隐患。![]()
在评估前,可通过调研、询问、测试等方式详细了解本企业数据来源、数据类别、数据承载方式、数据协同等内容进而熟悉企业当前数据安全相关工作现状。在评估中,针对汽车行业特性聚焦实际业务场景、通过数据流图的方式分析识别敏感数据的威胁风险点,输出敏感数据威胁流图,并对标数据安全相关政策及要求进行差异分析。以《汽车数据安全管理若干规定(试行)》(以下简称《规定》)为例,企业可根据《规定》相关要求,如:是否坚持了“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”原则以及在处理个人信息及其他数据时是否做到了告知同意、匿名化处理等操作去判断企业开展的汽车数据处理活动是否符合规范。在评估后,企业可根据评估报告以及整改修订意见进行相应的完善以满足合规要求,排除安全死角,落实数据分类分级与安全管控,并对敏感数据进行重点保护,完善数据安全管理制度,提升数据安全防护水平。二.体系建设
数据安全治理作为数据安全的基础,是贯穿数据流通全流程的复杂场景,需要以体系化建设思路进行规划从而达到健全数据安全保障的目的。![]()
在安全管理体系建设方面,企业应建立数据安全管理制度、明确负责部门及责任人、建立数据安全应急响应及报告机制、规范数据开发利用和共享使用机制,并根据分类分级要求建立企业数据资产管理台账,定义适合本身的数据分类分级标准。在技术管理保障层面,企业应将数据安全与个人隐私保护融入到汽车企业产品开发全生命周期V字模型的各个环节中。在概念及需求分析阶段需明确各模块的安全需求,在产品设计与开发阶段确定产品定位相关的安全要求,在测试阶段应按照安全合规需求对产品进行安全测试验证。此外,企业需利用数据加密、数据脱敏、数字签名、权限控制、通信加密、完整性校验、证书管理等技术手段实现数据采集、存储、传输、使用、出境以及销毁等阶段全生命周期安全防护。在运营管理阶段,企业应实现数据安全的应急保障,通过预案制定、监测运营、应急响应进行闭环管理。建设完整的数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态。三.跨境检测评价
![]()
在数据跨境安全测评方面,中国汽研结合已有政策法规,首先发布了《智能网联汽车数据跨境传输安全性要求》,并制定首家车端数据跨境传输安全测评方案,企业可参考该安全性要求加强对于汽车数据跨境传输的安全评估,以满足国家相应监管政策要求。该方案关键点在于对车辆对外数据传输的监测分析,通过自研工具分析通信流量的具体数据信息,检测是否存在数据出境。车端数据传输安全检测在电磁屏蔽空间内完成,基于车辆不同工况和行驶条件进行试验;在车辆转毂行驶状态下,向车辆发送GPS/蜂窝网络基站定位信号,模拟车辆行驶轨迹。汽车数据安全建设事关重大,企业需要在合规前提下,充分合理使用汽车数据促进经营,推动智能网联汽车良性发展。中国汽研北京院在汽车领域拥有的专业研究咨询以及安全测试团队可为企业提供数据合规评估、安全体系建设咨询、跨境检测等服务,助力企业完成企业数据安全体系化建设和维护。2023第六届无人驾驶及智能驾舱中国峰会,5月11-12日,上海
AutoSec 7周年年会暨中国汽车网络安全与数据安全合规峰会,5月11-12日,上海
更多文章
智能网联汽车信息安全综述
会员权益: (点击可进入)谈思实验室VIP会员
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。
文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247519068&idx=1&sn=78c66e13bd8798afd46c766b8f18abe7&chksm=e927cf87de504691c816f78b55daf93bdfb72fc1cb870d926de8b471eb3e1be61058498327b1#rd
如有侵权请联系:admin#unsafe.sh