当一辆汽车的
车联网系统被黑客攻克并被操控时,请不要认为这只是美国好莱坞大片里才有的场景。犹记得2015年7月,菲亚特-克莱斯勒宣布在美国召回140万辆汽车,并对这些汽车的车载软件进行升级,原因在于有信息安全研究人员通过无线连接使一辆Jeep切诺基的发动机熄火,因此必须重新升级软件以避免黑客远程控制发动机、转向系统以及车载系统。
如今,
车联网系统正逐渐成为汽车的一项标准配置,菲亚特-克莱斯勒出现的软件安全隐患已经不是个案,如果没有行业安全标准来做规范,或将引发不可想象的严重后果。在我国,作为国家网络安全的重要组成部分,车联网网络安全的“有法可依”已经迫在眉睫。《中国汽车报》记者日前获悉,《车联网网络安全白皮书》、《车联网网络安全防护指南细则(讨论稿)》(以下简称《白皮书》和《细则》)将于2月17~18日在安徽合肥举办的第六届车载信息服务产业年会期间正式发布。在发布之前,《中国汽车报》记者独家专访车载信息服务产业应用联盟(TIAA)秘书长庞春霖,他告诉记者,车联网网络安全即将拥有“指南针”。
车载信息服务产业应用联盟(TIAA)秘书长庞春霖
《中国汽车报》:《白皮书》、《细则》出台的大背景是什么?
庞春霖:在节能环保、安全舒适,以及车联网、自动驾驶、智能交通等方面要素的推动下,汽车正在迅速IT化、智能化。与传统汽车相比,智能网联汽车在节能减排、安全舒适方面具有前所未有的优势,符合汽车工业、交通出行方面的发展趋势,但也对网络与信息安全提出了巨大挑战。在互联互通的背景下,没有网络安全充分保障的情况下,智能网联汽车带来的可能就是灾难。
2016年11月7日,国家发布了《中华人民共和国网络安全法》,明确要求网络运营者(车厂、车联网运营者)需“履行网络安全保护义务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。”该法2017年6月1日起施行。
2016年10月23日,在前期工作基础上,在工业和信息化部等部门指导和支持下,车联开始推动面向更加广阔市场的网络安全委员会的筹备工作。在前期承担某信息安全专项工作的基础上,2016年底,以电子科技大学为主任委员、国家工业信息安全发展研究中心(工信部电子一所)、中国信息通信研究院、国家互联网应急中心、中国联通、中国电科第30所、奇虎360、博世为副主任委员,联合国内外70多家整车、芯片、软件和信息安全产业单位的车载信息服务产业应用联盟网络安全委员会(简称:车联网络安全委员会)正式成立。同时根据《关于委托车载信息服务产业应用联盟开展车联网网络安全摸底调查研究的函》(工网安函[2016]1411号)工作要求,在工业和信息化部、国家密码管理局、国家网信办等部门指导、支持下,车联网络安全委员会于2016年底组织、协调产业资源,以我国自主和在华骨干外资车企、终端和零部件厂商为调研对象,先后完成华南、华东、华北、东北、西南地区调研工作,充分了解了车联网网络和信息安全政策、法规、标准、产品、应用等方面的实际情况与现实需求。并组织与协调联盟内外资源,开展了车联网网络与信息安全相关政策、法规、标准的研究,形成《白皮书》、《细则》,将于2月17~18日在安徽合肥举办的第六届车载信息服务产业年会期间正式发布。
《中国汽车报》:目前我国车联网网络安全的现状如何?白皮书和讨论稿出台的意义体现在哪些方面?对车企和供应商会产生怎样的影响?
庞春霖:随着车联网发展,国内外已经先后出现了不少针对汽车的破解与攻击事件。我国在车联网网络安全方面缺乏政策法规、技术标准、产品及服务体系的支持。从调研情况看,各个整车企业和零部件厂商基本都在各自为战,缺乏可靠和一致性的基础工作,因此需要我们及早采取措施,完成网络安全方面的顶层设计工作,从政策、规划、标准、技术、人才等角度全方位推进车联网网络安全的发展与应用。
《白皮书》主要以本次车联网网络安全摸底调查研究的情况为基础,分析国内外车联网网络安全的发展现状,为车联网网络安全的后续发展提供建议,推动车联网网络安全产业的快速发展。
《细则》立足《中华人民共和国网络安全法》,从企业、用户、政府需求出发,参考《工业控制系统信息安全防护指南》,结合车联网的行业特点和技术属性,立足当前现实和未来发展趋势,提出、确定了一系列车联网网络安全防护的体系、指标和建议,为车联网行业开展网络安全防护工作提供参考和指南,提升网络安全防护能力,同时也配合《中华人民共和国网络安全法》的正式实施。
《中国汽车报》:是否会在车联网网络安全方面出台一些强制性规定?将对车企和供应商在车辆生产提供参考标准,对现有车辆和新车产生怎样的影响?有没有实施的时间节点?是否会提高整车厂和供应商的生产成本从而造成车价提高?
庞春霖:《车联网网络安全防护指南细则》初期只是一个推荐性的技术指南,并不涉及强制性标准和法规。同时通过产业宣传、贯彻和使用,不断发现新的需求和不足,并加以完善。但由于网络安全形势的复杂性,以及车辆作为一种重要的交通工具,未来可能会在某些细分项目上会有强制性的标准和法规出台。
两项文件本身就是在调研基础上,听取产业单位需求而形成的,目的是为产业单位提供一个基本的参考和标靶,减少大家的迷惑和疑虑,并以此形成产业各界对于车联网网络安全的一致性意见和商业行动,切身维护好产业和用户的根本权益。车联网网络安全产品主要是由一系列软件和芯片组成的系统产品,当然会有成本在里面。不过从发展的角度来看,未来车联网网络安全产品将和目前车辆主被动安全技术一样,属于必备的系统,所以我们也不必用当年看待安全带进入车辆的那种诧异眼光看待车联网网络安全产品。同时,安装可靠的车联网网络安全防护的智能车辆将具备更多的市场卖点,也会赢得更多消费者的信赖。
《中国汽车报》:车联网网络安全的落实是否有相关部门进行推动?自主、合资以及纯进口车辆的标准如何做到统一?在实施过程中可能会遇到哪些困难挑战?
庞春霖:我个人觉得车联网网络安全管理工作未来一定是中国政府的一个重要工作,其中一些关键技术和产品,可能会需要政府指定的第三方机构或组织按照技术标准或指南进行评估和测试,如同目前的无线电型号核准和手机入网检测一样。
如果把车联网网络安全产品看作未来智能汽车不可或缺的一个部分,那么就像现在车辆的保险杠、安全带、气囊、ADAS等等常规安全产品一样,无论自主还是进口车辆,应该都是一致和统一的要求,并可以采取现在车辆型号核准等方式,推动车联网网络安全产品的安装、测试、使用、维护和服务。
车联网网络安全所面临的困难和挑战很多,首先是人们的意识问题,很多单位和用户对于电动汽车的起火非常在意,但对于车联网网络安全却毫不在意。要知道,车联网安全影响的不单单是信息泄露这样简单,恶意操控可以影响和威胁到车辆驾驶和乘用者的生命财产安全;第二是网络安全的攻击方式复杂、多变,一成不变的网络安全产品很难应对攻击种类繁多的安全威胁;第三是车联网网络安全产品的核心还是芯片、软件等基础技术,对于自主车联网网络安全产品而言,投入比较大、周期比较长、效益回收比较漫长,需要产业单位的耐心和执着;第四是车联网网络安全涉及的产业链比较长,从整车企业,到零部件、软件、芯片供应商,在实施过程中需建立和不断完善技术与管理体系、人才队伍、产品体系、评测体系;第五是车联网网络安全已经不是单一物理空间的技术和体系,也非结构化的治理模式,需要新型的伦理、法律和技术法规给予支持,否则传统的政府治理模式很难应对瞬息万变的网络世界。