4月1日,国家市场监管总局、工业和信息化部、交通运输部、应急管理部、海关总署五部门联合发布了《关于试行汽车安全沙盒监管制度》的通告,共同启动汽车安全沙盒监管试点工作,以完善汽车新技术、新业态、新模式安全监管方式。

共克时艰,腾讯安全开启“远程办公护航计划”

沙盒,原本是一个计算机用语,通过限制应用程序的代码访问权限,为一些来源不可信、具备破坏力或无法判定程序意图的程序提供试验环境。汽车沙盒监管制度,是采用目录清单制对车辆使用过程中的前沿技术进行监管的机制。通过这种方式将前沿技术可能引发的安全问题纳入监管范围,可以由被动变主动,提高应急处置能力,助力汽车产业繁荣健康、安全有序发展。

汽车前沿技术的应用,可能带来新的安全问题

沙盒监管制度的推出,是受我国汽车智能网联化迅速发展,面临的安全形势更为复杂所影响。根据 Upstream发布的《全球汽车网络安全报告》显示,2021年汽车攻击事件比2018年增长了225%。而且随着汽车智能化的发展,新技术的不断引入,车辆安全的基本特征、安全边界都处在不断的动态变化之中,因此产生的问题也较为更加复杂不稳定。

首先,汽车上云之后,“端-网-云”架构打破原有的安全边界,信息域和物理域变得紧密融合,可能为汽车带来新的安全风险。车辆一旦被入侵,很有可能出现被操控的现象。例如腾讯科恩安全实验室,就曾经利用特斯拉Model S轿车的Autopilot系统的漏洞,实现了远程操控方向盘,之后科恩实验室向特斯拉公布了相关漏洞,帮助其完成修复。

其次,汽车OTA的升级有可能产生新的安全风险。OTA升级后,原本投放到市场时安全的汽车很可能因为软件升级对参数、代码调整从而产生新的漏洞,带来新的安全问题。据车质网数据显示,近三年来“系统升级问题”投诉量均超过千宗,其中2022年仅一季度的相关问题投诉量便达到1934宗,甚至超过了2021年全年的投诉总量。

共克时艰,腾讯安全开启“远程办公护航计划”

再者,汽车数据安全有可能引发更为严重的安全问题。智能网联汽车在运行过程中会收集大量个人用户和地理数据,而在大数据应用场景下,汽车数据的使用环境更加开放,特别是频繁跨国界流动,有可能导致个人或者商业信息泄密,严重时威胁国家安全。

面对全新的安全问题,车企如何变被动为主动

以往汽车在发生问题之后,由于车企普遍缺乏全面的防范意识和处理经验,只能采取被动补救措施。如特斯拉因半导体组件存在隐患,曾一夜之间召回13万Model 3,现代海外因加氢口存泄露隐患,召回了54辆Nexo氢燃料电池车等。

然而面对瞬息万变的网络黑客攻击,这种被动处置的方式就很难跟上节奏了。相较于传统车辆,智能网联汽车的攻击面更广,攻击渠道也更多,车上常用的应用软件、蓝牙、wifi、云端、XSS漏洞等,都可能成为黑客入侵的“通道”。据统计,每年针对车联网平台的扫描探测、拒绝服务器攻击、病毒木马植入的恶意行为就多达数百万次!

此次沙盒监管制度将车企前沿技术和功能模式提前纳入监管范围,就是为了弥补被动补救的局面。因此,在政策的引导下,车企也应该变被动为主动,与网络安全经验丰富的互联网企业联手,提前做好网络安全防护,建立常态化的威胁预警和响应机制,保证智能网联汽车的安全运行。比如去年4月份,上汽集团联合腾讯组建网络安全联合实验室,围绕智能网联汽车网络安全标准规范、攻防技术、安全研发、安全运营等领域开展深度合作。在车端防护方面,腾讯在上汽的设计和研发时期就参与到一些智能座舱的规划工作中,并且将网络安全建设融入到上汽整车研发制造流程,全生命周期保障上汽汽车的网络安全。

共克时艰,腾讯安全开启“远程办公护航计划”

腾讯一体化安全防护解决方案示意图

在智能网联汽车迅速发展的时代,网络安全保障是重中之重。一方面要与时俱进,建立风险可控的监管方式。另一方面车企、互联网企业应该联合,守住汽车产品的安全底线,从研发、制造各个流程做好安全防护,增强消费者对智能网联汽车的安全感和信任感,保证智能汽车的良性持续发展。

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。