作者｜云歌

來源｜汽車大觀

3月10日，有消息稱特斯拉上海超級工廠監控遭到入侵，起因是供應商安防系統初創公司Verkada遭黑客入侵，大量監控錄像數據被竊取，特斯拉等公司的監控鏡頭片段被曝光。

當天下午，特斯拉回應表示，目前特斯拉在中國已經停止了這些攝像頭的聯網，并且已在供應商現場采取措施停止了攝像頭工作。

特斯拉作為智能汽車的代表，在信息安全方向布局較早，工廠監控尚且還有被入侵的風險。那么，未來隨著網絡化程度越來越高，汽車的信息安全問題又當如何解決？

什么是信息安全？

信息安全是指信息系統（包括硬件、軟件、數據、人、物理環境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷，最終實現業務連續性。

信息技術的發展加快了汽車產業的變革，但智能化、網聯化帶來的信息安全問題也在日益凸顯。根據中國汽車信息安全共享分析中心發布的信息顯示，汽車信息安全涉及范圍較廣，汽車十大信息安全風險，包括不安全的云端接口、未經授權的訪問、系統存在的后門、不安全的車載通信、車載網絡未做安全隔離、系統固件可被提取及逆向、不安全的第三方組件、敏感信息泄露、不安全的加密和不安全的配置。

根據以上風險，黑客可利用汽車電子系統的漏洞，如藍牙、云端、網絡通信等在功能安全、軟件、信息傳輸、娛樂系統多方面展開攻擊。

信息安全事件有哪些？

汽車信息安全問題被業界所關注，最早始于6年前。

公開報道顯示，2015年兩名白帽黑客遠程入侵了一輛行駛中的切諾基，對其做出減速、關閉引擎、制動失靈等操作。此舉，導致克萊斯勒緊急召回了140萬輛汽車。

2016年9月，騰訊科恩實驗室宣布實現對特斯拉Model S的遠程無物理接觸破解，能夠遠程遙控車輛的門鎖、燈光、座椅、中控大屏，甚至剎車等關鍵功能。之后，2017年7月，科恩實驗室又實現了對Model X的無物理接觸遠程攻擊。

2018年10月，奔馳也被曝出兩個CVE漏洞，攻擊者可利用漏洞，使車機無法正常工作。

2019年，歐洲ADAC汽車協會針對33個品牌的237款車型進行了安全測試，結果顯示99%的車輛能夠被黑客解鎖并開走，最短時間僅需18秒。

根據Upstream統計，截至2019年，公開報道的智能汽車網絡安全攻擊事件就已高達155起。

未來，隨著汽車智能化的發展，如果數十萬輛汽車因為使用同一個應用或者同一個服務器，黑客攻擊一個漏洞就能導致數十萬輛車同時癱瘓，其災難程度不亞于“911”事件。

可以說，重視智能汽車的信息安全問題，已經迫在眉睫。

整車企業如何應變？

目前，隨著L2級輔助駕駛功能的大規模實現，各大整車企業已將目光瞄準了L3、L4級自動駕駛的產業化。

2020年4月，長城汽車成立數字化中心，并在7月發布整車智能化品牌“咖啡智能”，涵蓋智能座艙、智能駕駛、智能電子電器架構。

值得一提的是，長城汽車并非首個“吃螃蟹”的自主品牌。

早在2016年，上汽就同阿里發布了“全球首款的量產互聯網汽車”榮威RX5。2019年，上汽又與上港、中國移動正式啟動5G、L4級智能駕駛重卡示范運營。2020年7月，上汽集團軟件中心“零束”成立，聚焦智能駕駛系統、軟件架構、基礎軟件平臺和數據工廠。

而在造車新勢力方面，以小鵬汽車為例。公開資料顯示，其量產車型小鵬P7，搭載了全新的XPILOT 3.0自動駕駛輔助系統，可實現NGP（高速自動導航輔助駕駛）、ACC（自適應巡航）、LCC（車道居中輔助系統）、停車場記憶泊車等功能。

除此之外，當前市場上的語音交互、手機遠程控制、車內外加載攝像頭等智能化功能的搭載率也在日趨上升。

在此背景下，整車企業當如何應對汽車信息安全問題？

據了解，目前國內汽車信息安全市場還處于咨詢問路的階段，標準法規還未完善，相關理論尚未形成體系化的模式指導OEM開展相關信息安全工作。

不過，從公開信息看，不少信息安全企業和車企已經開始了相關布局。

車企方面，同樣以小鵬汽車為例。目前，小鵬汽車已擁有一支數十人的信息安全團隊，成員多為來自微軟、阿里巴巴、騰訊、綠盟、網易的高級安全專家。

與此同時，傳統信息安全企業例如奇安信、梆梆、科恩實驗室等，也已在將業務重心轉移至汽車信息安全領域。

國家應加強信息安全監管

互聯網的加入賦予了汽車無限的可能和無窮的想象，智能汽車正成為數據收集、數據傳輸、數據處理的關鍵節點。但如果信息安全問題無法得到有效解決，真正的智能汽車時代或將永遠無法到來。

對此，有業內專家表示：“智能汽車改變了傳統意義上的汽車安全，從早期功能安全逐步向信息采集和運用安全轉變，對于智能汽車的信息安全管理，也應該提升到國家信息安全的級別。”

今年兩會期間，360創始人、董事長兼CEO周鴻祎提出：“預計到2025年，智能網聯汽車可占年度汽車銷量的50%，智能汽車已陸續出現遠程控制、數據竊取、信息欺騙等安全問題，建議國家加大鼓勵和引導企業，將智能汽車的聯網安全防護體系納入車輛生產、銷售和服務體系中，并逐步形成強制性要求。”

此外，還有業內人士表示，建議國家主管部門加強戰略布局，從國家層面提出汽車信息安全的總體規劃和部署，統籌協調各方訴求，發揮各自優勢，形成快速、高效、科學、合理的安全標準體系。

在業界看來，保護汽車數據安全，還要加強在智能汽車使用過程中的數據采集監管工作。禁止在用戶不知情的情況下進行數據采集以及過度采集數據，大力發展數據的安全采集、存儲、認證加密、安全傳輸、脫敏等保護技術。同時，還要制定智能汽車采集用戶數據管理和地理環境數據的標準規范并加強數據出境監管。由國家對車輛信息安全相關數據進行分類管理，對保密等級較高的數據進行統一監控，實施安全動態監測機制，及時發現問題并處理。