电动汽车、自动驾驶、网联汽车和共享出行正在掀起一场深刻的汽车行业数字化革命,但一个关键的事实却往往被狂热的资本和投资者忽略和忽略创业者无视:自动驾驶是典型的“安全至上”市场。今天,一辆汽车包含多达150个电子控制单元和大约1亿行软件代码(是战斗机的四倍),预计到2030年将增长到3亿行代码。市场研究公司JuniperResearch预测到2022年,全球市场上超过一半的新车(约3500万辆)将配备V2V(车对车通信)功能,占整个汽车市场的2.7%。电动汽车和自动驾驶汽车正在成为继智能手机和智能家居之后快速崛起的全新个人信息枢纽。对于一些黑客来说,自动驾驶汽车将是一个有吸引力的目标。随着汽车数字化,黑客的攻击面迅速扩大,造成严重的网络安全风险,威胁车辆安全、消费者隐私甚至生命。根据最新的汽车行业网络安全研究:强化汽车网络安全的需求将引发巨额投资——从2020年的49亿美元增加到2030年的97亿美元。新的联合国汽车网络安全条例提供的安全框架将刺激重大创新和新的经济机会在供应商、专业利基公司和初创企业的IT部门,特别是在汽车网络安全相关的软件开发和服务市场。自动驾驶汽车的隐私合规性最近微信上出现了很多公众号,甚至像司马南这样的大V都警告称,特斯拉的自动驾驶汽车将对个人隐私乃至国家安全构成重大威胁。最重要的论点之一是特斯拉的特殊自动驾驶汽车配备了大量传感器,可以感知大量信息(包括个人通讯、偏好、位置、隐私数据,以及大量的视觉采集)车内外及行车路线信息),并上传至云端。同时,自动驾驶汽车还会与手机同步应用数据,比如位置、通讯录、语音、图片等。那么,以特斯拉为代表的自动驾驶汽车能够收集哪些信息呢?下面是一张标准的自动驾驶汽车传感器分布图:其实普通消费者不用太担心自动驾驶汽车和车联网的隐私保护问题,因为和智能手机一样,自动驾驶的用户隐私汽车和联网汽车并不违法。特斯拉等智能汽车自动驾驶系统采集、传输和处理的环境数据和用户隐私信息,无论是本地黑盒处理,还是网络传输、车机原生应用或同步手机应用,都需要遵守中国(已发布或即将发布)的隐私相关法律法规,包括但不限于:《信息安全技术 车载网络设备信息安全技术要求》《数据安全法》(草案)《个人信息保护法》(草案)《个人信息出境安全评估办法》(征求意见稿)《信息安全技术移动互联网应用APP收集个人信息基本规范》(草案)《APP违法违规收集使用个人信息行为认定方法》除了国内隐私相关的保护法规外,欧洲的GPDR和美国的CCPA对全球自动驾驶汽车和车联网产品具有直接约束力。汽车网络安全的全球(合规)趋势国际机构也在采取措施帮助汽车制造商抵御黑帽黑客和其他数字威胁。例如,2020年6月23日,联合国欧洲经济委员会(UNECE)汽车法规协调世界论坛通过了两项新法规,旨在帮助组织应对联网汽车的网络安全威胁。然而,一个不容忽视的现实是,现阶段与汽车信息安全相关的法律法规并不完善。根据麦肯锡的《汽车网络安全挑战》报告,汽车行业的网络安全标准和法规滞后于其他IT领域,存在诸多死角:下面,我们从系统的三个方面盘点汽车网络安全的最新国际标准和法规动态安全、供应链安全、自动驾驶人工智能安全:系统安全2021年2月5日根据联合国秘书长通告,联合国车辆法规协调论坛UNECEWP.292020年6月通过的三项具有里程碑意义的联合国车辆法规来了于2021年1月22日生效。这三项法规是:关于网络安全和网络安全管理系统的第155号法规:制造商和供应商对安全措施的评估。关于软件更新和软件更新管理系统的第156条规定:第一个管理车辆无线(OTA)软件更新的国际法规。RegulationNo.157TypeCertificationofAutomaticLaneKeepingSystems:L3级自动驾驶系统的第一个国际法规,涉及自动驾驶数据存储系统相关法规,例如收集系统使用和驾驶员监控相关数据的黑匣子。2020年6月,联合国车辆法规协调论坛通过了两项新的《联合国网络安全和软件更新法规》措施,从四个维度加强车辆网络安全:管理车辆网络风险;通过设计确保车辆安全,以降低价值链中的风险;检测并响应车队中的整个安全事件;提供安全可靠的软件更新并确保车辆安全不受损害已经为所谓的车载软件“无线”(OTA)更新引入了法律依据。这些规则将适用于乘用车、货车、卡车和公共汽车。已于2021年1月生效。供应链安全各国都非常重视汽车供应链的安全,德国的可信信息安全评估交易所(TISAX)就是这样的例子。自2017年以来,TISAX一直是一种评估和沟通机制,组织可以通过该机制根据德国汽车集团VerbandDeutscherAutomobilindustire(VDA)制定的信息安全要求目录提交审核。该目录被称为VDA信息安全评估(VDAISA),适用于涉及德国汽车供应链任何??环节的公司。它的全行业执法适用于汽车制造商和原始设备制造商,但不限于合作伙伴和供应商。即使一家公司不在德国,只生产一个用于德国制造汽车的微芯片,其业务网络仍然属于这些要求的管辖范围,仍然需要使用TISAX来完成信息安全评估。自动驾驶AI安全《汽车网络安全(信息安全)标准、规范》(AutomotiveCyber??securityStandardandSpecification)总结了企业、组织、产品全生命周期的规范和标准。自动驾驶汽车使用人工智能系统,该系统采用机器学习技术来收集、分析和传输数据,以便做出人类在传统汽车中做出的决定。与所有IT系统一样,这些系统容易受到可能危及车辆正常运行的攻击。ENISA和JRC在今年2月发布的一份报告阐明了与在自动驾驶汽车中采用人工智能相关的网络安全风险,并提供了缓解这些风险的建议。报告指出,汽车行业应采用安全设计的方法来开发和部署人工智能能力,网络安全应从一开始就成为自动驾驶人工智能设计的核心要素。汽车行业应提高其安全准备并增强其事件响应能力,以应对与人工智能相关的新兴网络安全问题。ENISA给出的三项建议值得特别关注:第一,定期对人工智能组件的整个生命周期进行安全评估。这种对AI模型和数据的系统验证对于确保车辆在遇到意外情况或恶意攻击时始终正常运行至关重要。其次,实施由威胁情报支持的持续风险评估流程,可以识别与人工智能在自动驾驶中的应用相关的潜在人工智能风险和新出现的威胁。最后:正确的人工智能安全战略和人工智能安全文化应该主导整个汽车供应链。“当不安全的自动驾驶汽车越过欧盟成员国的边界时,它们的安全漏洞也会随之而来。安全不应该是事后才想到的,而是在欧洲道路上可靠部署车辆的先决条件。”欧盟网络安全局执行主任JuhanLepassaar说。参考汽车行业网络安全研究:https://www.gsaglobal.org/wp-content/uploads/2020/03/Cyber??security-in-automotive-Mastering-the-challenge.pdf)汽车网络安全(信息安全)标准,规格:https://www.helpnetsecurity.com/2021/02/17/cybersecurity-autonomous-vehicles/gooann-sectv)获取授权】戳这里看作者更多好文章
