【扎克伯格的车】从扎克伯格的困境说到智能互联汽车数据安全
Facebook的CEO马克‧扎克伯格(Mark Zuckerberg)最近过的有点煎熬,北京时间12日凌晨扎克伯格终于结束了他的美国国会之旅。
扎克伯格在国会接受问询
在爆发数据泄漏的丑闻之后,Facebook被推上了风口浪尖,股价一路下跌,并受到美国和欧盟的指责。虽然扎克伯格不断站出来向公众道歉并且在北京时间4月10日到12日接受了美国国会长达10个小时的问询,但是这场风波远未平息。
一石激起千层浪
在信息泄漏丑闻爆发后,Facebook泄漏用户信息、剑桥分析恶意收集Facebook数据等报道迅速占领各大媒体头条并持续领跑热搜榜。民众普遍对自己隐私安全表示忧虑据,苹果联合创始人斯蒂夫·盖瑞·沃兹尼亚克(Stephen Gary Wozniak)因担心Facebook无法保障其个人信息安全,决定注销自己账号并退出该平台,此举带来了大量效仿者。
科技巨头、SpaceX和特斯拉CEO埃隆马斯克(Elon Musk)也表示将会删除公司在Facebook上的账号。
马斯克表示将删除SpaceX在Facebook上的官方页面
事件并没有因扎克伯格的道歉以及前往国会接受问询而告一段落,相反随着时间的推移而持续发酵,给互联网安全这本就不平静的湖水带来了更大的波澜,话题早就从Facebook本身转移到整个互联网产业。
风波辐射到智能网联汽车,让当下发烧的的智能汽车冷静下来
随着信息技术的发展,智能网联汽车的未来发展态势十分明确,如何才能解决日益凸显的便捷性与安全性之间的矛盾就显得尤为重要。靠人工智能来操纵汽车必然需要大数据平台来提供支持,并且在使用过程中也必然会产生大量的数据,这些数据记录了用户的日常出行的各种信息在互联网时代属于个人隐私范畴,一旦泄漏后果将不堪设想。
举个例子,攻击者通过盗取车辆GPS轨迹数据能够选择合适的时间地点来实施盗窃行动或者对车主人身安全造成伤害。再举个例子,攻击者可以通过DDos攻击来取得车辆重要电控系统的控制权,从而远程控制用户的汽车以达到其各种目的。
2017年6月由中国汽车工程学会牵头制定并发布的《智能网联汽车信息安全白皮书》(下面简称《白皮书》)指出了智能网联汽车面临的信息安全威胁与挑战。《白皮书》将目前面临的威胁主要分为云端威胁、传输威胁、终端威胁和外部威胁四层,在这四层威胁之中又划分为云平台威胁、网络传输安全威胁、T-BOX威胁等12大风险。
智能网联汽车信息安全白皮书
总体来看车载终端所面临的威胁类型正随着车载终端类型和数量的不断增加而增加,车载终端的安全保护必须与时俱进,及时找到漏洞并进行封堵,实施有针对性的安全防护措施。
同时,由于智能网联汽车需要不断在移动终端、移动通信网络、移动接入管理和业务平台之间传输数据,数据传输安全也必须得到重视。
另外,相关专家认为当前的云平台数据处理特性并不能满足用来储存车联网数据,需要尽快找寻更为适合的方案。
最后,智能网联设备如充电桩、各种操控APP等一系列外部组件将开始频繁接入汽车,其势必在用户中大量普及以及安全防护不足等特性将成为恶意攻击的重点对象。
针对这些威胁,高校和企业都在不断完善关键安全防护技术
对于车辆终端本身来说,一套安全的操作系统是必不可少的。当前大部分企业为了降低开发成本使用的都是开源的开源方案,如Android、Linux、QNX。但是开源方案带来的风险不容小觑,因此车企必须对开源系统的漏洞进行掌握,及时更新所有已知漏洞以保证用户安全,同时,一个优秀的操作系统应当确保涉及安全的系统随时处于受控状态。此外,固件安全、密钥安全、FOTA等方面都要做到万无一失。
数据方面,不仅仅要考虑数据储存安全,也要考虑到数据备份、数据传输所带来的风险。对于数据传输,则必须兼顾网络传输安全和网络边界安全。前面提到的云端安全应当从云平台安全、云平台可视化管理等方面入手。
移动APP必将成为智能网联汽车生态圈的重要组成部分,开发者必须对应用的开发、发布以及运维进行把控,从技术角度最大程度的保障APP的安全。相关部门也应当出台相应的法律法规或者准则以及加大监管力度来避免恶意APP出现在市场。
在本月初,360集团发布了《2017智能网联汽车信息安全年度报告》。在报告中,360集团从智能网联汽车信息安全规范、智能汽车CVE漏洞分析和破解案例分析三个角度,阐述了2017年智能网联汽车信息安全的发展历程。360认为汽车信息安全已进入刷漏洞时代,智能汽车信息安全漏洞开始受到普遍关注。
中外国家都在尽快落实智能网联汽车相关行业标准
国内外近几年都在加快制定相关的安全标准。国际组织(ISO/SAE)正进行21434(道路车辆-信息安全工程)标准的制定。中国团队也积极投身于规则的制定,这说明了中国在智能汽车的研发走在了世界前列,并且表达了中国对智能网联汽车安全的重视。
但是制定规则需要时间,在未来的一两年里详尽的、成体系的行业标准也许还不能完全建立起来,以后即使建立起来了也需要不断地完善和修改但是各大企业并不会停下来等待,在这几年里各大企业更要严格把控每一个环节,避免出现重大安全事故。
此次信息泄漏所引发的信息安全大讨论不是第一次也绝对不会是最后一次,虽然智能网联汽车收到了波及,但站上风口浪尖的毕竟还是以Facebook为代表的社交媒体行业。智能汽车如果不想像其一样被大众怀疑、质问那就必须保护好用户的数据安全,为整个行业奠定良好的口碑。