4月1日,國家市場監管總局、工業和信息化部、交通運輸部、應急管理部、海關總署五部門聯合發布了《關于試行汽車安全沙盒監管制度》的通告,共同啟動汽車安全沙盒監管試點工作,以完善汽車新技術、新業態、新模式安全監管方式。
沙盒,原本是一個計算機用語,通過限制應用程序的代碼訪問權限,為一些來源不可信、具備破壞力或無法判定程序意圖的程序提供試驗環境。汽車沙盒監管制度,是采用目錄清單制對車輛使用過程中的前沿技術進行監管的機制。通過這種方式將前沿技術可能引發的安全問題納入監管范圍,可以由被動變主動,提高應急處置能力,助力汽車產業繁榮健康、安全有序發展。
汽車前沿技術的應用,可能帶來新的安全問題
沙盒監管制度的推出,是受我國汽車智能網聯化迅速發展,面臨的安全形勢更為復雜所影響。根據 Upstream發布的《全球汽車網絡安全報告》顯示,2021年汽車攻擊事件比2018年增長了225%。而且隨著汽車智能化的發展,新技術的不斷引入,車輛安全的基本特征、安全邊界都處在不斷的動態變化之中,因此產生的問題也較為更加復雜不穩定。
首先,汽車上云之后,“端-網-云”架構打破原有的安全邊界,信息域和物理域變得緊密融合,可能為汽車帶來新的安全風險。車輛一旦被入侵,很有可能出現被操控的現象。例如騰訊科恩安全實驗室,就曾經利用特斯拉Model S轎車的Autopilot系統的漏洞,實現了遠程操控方向盤,之后科恩實驗室向特斯拉公布了相關漏洞,幫助其完成修復。
其次,汽車OTA的升級有可能產生新的安全風險。OTA升級后,原本投放到市場時安全的汽車很可能因為軟件升級對參數、代碼調整從而產生新的漏洞,帶來新的安全問題。據車質網數據顯示,近三年來“系統升級問題”投訴量均超過千宗,其中2022年僅一季度的相關問題投訴量便達到1934宗,甚至超過了2021年全年的投訴總量。
再者,汽車數據安全有可能引發更為嚴重的安全問題。智能網聯汽車在運行過程中會收集大量個人用戶和地理數據,而在大數據應用場景下,汽車數據的使用環境更加開放,特別是頻繁跨國界流動,有可能導致個人或者商業信息泄密,嚴重時威脅國家安全。
面對全新的安全問題,車企如何變被動為主動
以往汽車在發生問題之后,由于車企普遍缺乏全面的防范意識和處理經驗,只能采取被動補救措施。
然而面對瞬息萬變的網絡黑客攻擊,這種被動處置的方式就很難跟上節奏了。相較于傳統車輛,智能網聯汽車的攻擊面更廣,攻擊渠道也更多,車上常用的應用軟件、藍牙、wifi、云端、XSS漏洞等,都可能成為黑客入侵的“通道”。據統計,每年針對車聯網平臺的掃描探測、拒絕服務器攻擊、病毒木馬植入的惡意行為就多達數百萬次!
此次沙盒監管制度將車企前沿技術和功能模式提前納入監管范圍,就是為了彌補被動補救的局面。因此,在政策的引導下,車企也應該變被動為主動,與網絡安全經驗豐富的互聯網企業聯手,提前做好網絡安全防護,建立常態化的威脅預警和響應機制,保證智能網聯汽車的安全運行。比如去年4月份,上汽集團聯合騰訊組建網絡安全聯合實驗室,圍繞智能網聯汽車網絡安全標準規范、攻防技術、安全研發、安全運營等領域開展深度合作。在車端防護方面,騰訊在上汽的設計和研發時期就參與到一些智能座艙的規劃工作中,并且將網絡安全建設融入到上汽整車研發制造流程,全生命周期保障上汽汽車的網絡安全。
騰訊一體化安全防護解決方案示意圖
在智能網聯汽車迅速發展的時代,網絡安全保障是重中之重。一方面要與時俱進,建立風險可控的監管方式。另一方面車企、互聯網企業應該聯合,守住汽車產品的安全底線,從研發、制造各個流程做好安全防護,增強消費者對智能網聯汽車的安全感和信任感,保證智能汽車的良性持續發展。
