车企接连遭殃数据安全从来都不是一个简单的数据泄露问题

目前，汽车已逐渐进入智能化的新发展阶段。然而，汽车网络与智能的深度耦合离不开用户数据的收集和使用，这也为汽车数据泄露埋下了隐患。

不久前，蔚来汽车数据盗窃再次成为讨论的焦点。

1.汽车数据安全防护网不是万无一失的

今天的汽车已经从一种单一的交通工具发展成为一种连接人、汽车、道路和云的智能网络汽车。进入大数据时代，随着技术的发展，大量数据进一步集中，智能网络汽车也在收集、处理和存储大量数据，如个人身份信息、地图数据、交通数据和个人生活、娱乐和商业互动数据。

智能网络汽车的趋势进一步深化，车载存储也呈现出增长趋势。数据显示，2021年，一辆车的平均数据存储量为34GB，单个手机为105GB。但到2026年，自行车的存储量预计将达到483GB，而手机为350GB左右。

汽车电子作为汽车大脑中的中枢神经系统，在整车中的地位和重要性越来越明显。此外，该领域的存储份额也在增加。绿盟科技集团有限公司产品总监刘嘉奇在2021年中国汽车论坛智能网络汽车产业发展与安全主题论坛上提到，汽车上至少有100辆ECU(电子控制单元)运行6000万行代码，无人驾驶汽车代码将超过1亿行。然而，编写的代码不可避免地包含错误和漏洞。虽然传输协议在设计中已经进行了安全设计，并考虑了加密的需要，但仍然不可避免地可以使用的攻击点。

车联网涵盖车内网、车际网和车云网，对应常用的云管端架构，其信息安全威胁主要包括云篡改、通信链接监控、车辆密钥泄露、本地网络通信安全等。目前，车联网暴露的攻击点越来越多。

云服务平台有公网域APN和私网域APN。公网域APN一般采用HTTPS协议负责文件存储、云计算等。APN采用TCP／IP协议负责车辆敏感数据交互和车辆控制FOTA等。云平台和车端TBOX/智能网关通信，然后通过CAN(控制器域网)/CAN FD（CAN升级版总线/LIN(串行通信网络)/车载以太网不同ECU进行贯通。

然而，云服务平台容易受到服务器攻击的风险，导致敏感数据泄露和关键指令篡改。如果攻击者入侵服务器篡改车辆远程控制报告，后果不堪设想。IVI(车载信息娱乐系统)TBOX(导航网站)RSU、第三方APP也是入侵者的攻击点。

一旦车辆或车联网平台被黑客非法入侵，可能会面临车辆远程解锁、远程开门、启动等情况，甚至转向系统、动力系统等非法控制，造成车辆盗窃甚至车辆驾驶安全事故的严重后果。在2022年世界智能网络汽车会议上，奇安信集团模拟了使用计算机成功远程破解汽车钥匙、成功打开车门等操作。

此外，由于智能网络汽车将收集周围的场景和重要的地理信息数据，汽车数据泄露也可能威胁到国家安全。国家工业信息安全发展研究中心副总工程师兼信息政策研究所所长黄鹏认为，如果精度达到一定程度，将影响或威胁国家安全。

2.车企接连遭殃

数据安全从来都不是一个简单的数据泄露问题，个人隐私数据暴露盗窃后的经济影响越来越严重。

今年7月，IBM Security 发布了《2022年数据泄露成本报告》。报告显示，单个数据泄露事件的全球平均总成本为435万美元，给企业和组织造成的经济损失和影响力达到了前所未有的水平，比过去两年高出近13%。许多汽车公司也遭受了痛苦。

不久前，蔚来汽车数据被盗，闹得沸沸扬扬。一些外部件声称拥有蔚来内部数据，并以泄露数据勒索225万美元(目前约1570.5万元)等额比特币。被盗数据是2021年8月前部分用户的基本信息和车辆销售信息，尚未涉及车辆安全。

鉴于数据泄露被勒索，威来坚决表示永远不会向犯罪行为鞠躬。与此同时，威来汽车客户服务人员表示，他们不会主动赔偿可能造成的用户损失，但客户反馈将再次记录，并用户造成的损失承担责任。然而，赔偿计划尚未出台。

事实上，这种事件并不孤单，但威莱作为智能电动品牌的代表，受到了更多的关注。此前，大众、丰田和通用都发生了不同程度的数据泄露。

去年6月，大众表示，约330万大众、奥迪车主和潜在客户的个人信息被泄露，包括姓名、地址、手机号码、电子邮件、部分驾照号码、车牌号码、贷款号码等。此外，泄露的数据还包括与财产证明和付款方式相关的敏感信息，因此不排除用户盗窃银行卡的可能性。此外，在后续处理中，大众汽车提到，9万名敏感信息被盗的人将获得免费的信用保护服务。

今年6月，媒体报道了通用汽车的数据泄露。今年4月11日至29日，通用汽车检测到恶意登录活动。经过通用汽车调查，发现黑客在某些情况下将客户奖励积分兑换成礼品卡。检测后，通用汽车及时向受影响的客户发送电子邮件并通知。为了弥补客户的损失，通用汽车表示，他们将恢复受此事件影响的所有客户的奖励积分。然而，根据调查，这些违规行为不是通用汽车被黑客入侵的结果，而是由平台上客户的一波数据库冲击引起的。

10月，丰田汽车也曝光了用户信息数据泄露的问题。10月7日，丰田汽车发表声明称使用它T－connect296019名客户的个人信息可能已经泄露，包括电子邮件地址和客户管理号码，但其他敏感信息，如姓名、电话号码和信用卡信息，不受影响T－Connect服务本身没有影响。这一事件主要是由于T－Connect网站的一些源代码被错误地发布GitHub上。随后，丰田表示道歉，并提醒用户收到垃圾邮件。

从过去的案例可以看出，数据泄露的威胁是无处不在的，每个汽车公司都可能是下一个受害者。最终的受害者——汽车公司的用户是无辜的，在数据泄露后也很难得到实质性的补偿。因此，加强对源头数据安全的保护尤为重要。

3.如何打破智能汽车行业的局面？

从2017年到2021年，全国人民代表大会常务委员会先后通过了《中华人民共和国网络安全法》

自2021年以来，中国智能汽车数据安全的第一年正式开放。从中央政府到地方政府都发布了一系列智能汽车信息安全等相关政策和文件。《汽车数据安全管理若干规定（试行）》（以下简称《规定》）是中国第一个针对汽车数据安全的正式法律法规，对汽车行业具有重要意义。

本规定主要从驾驶舱数据、车外人脸或车牌等敏感数据、个人隐私通知三个方面规范和定义内外数据收集、传输、使用、汽车数据处理权责划分，倡导汽车数据处理活动坚持四个原则。

第一项是车内处理原则，除非有必要不向车外提供；第二项是默认不收集原则，除非驾驶员独立设置，否则每次驾驶时默认设置为不收集状态；第三项是精度范围适用原则，根据功能服务对数据精度的要求确定摄像头和雷达的覆盖范围和分辨率；第四项是脱敏原则，尽可能匿名和标识化。

作为汽车数据的主要处理者，汽车公司应该实现上述四个原则。然而，短期内，汽车公司禁止360处理数据安全监管°全景、远程监控等功能。然而，一刀切的汽车公司并不是一个长期的解决方案。汽车公司应该做的是提高智能水平，控制数据精度。

为了加强数据合规，汽车公司升级软硬件是不可避免的。从技术角度来看，图片的脱敏处理可以通过OTA实现在线升级。在硬件层面，图像脱敏还需要一定的计算支持和更高的驾驶舱芯片。此外，汽车公司还可以加强与第三方企业在汽车数据安全领域的合作，通过数据安全产品和解决方案为智能汽车网络连接系统建立整体防御系统。

智能汽车作为集旅游、娱乐、休闲等多功能于一体的第三步生活空间，已成为人们生活中日益重要的组成部分。为了使这个空间更舒适、更方便、更舒适，智能汽车的用户往往会向汽车转移更多的权限，并与汽车深度绑定。汽车公司作为智能汽车服务的提供商，有必要收集、分析、存储和处理用户数据，这也使他们成为维护用户数据安全责任的主要承担者。汽车企业在汽车数据安全领域还有很长的路要走。