信息安全得到国家最高层空前重视,重要性及紧迫性日益突出。2023年4月20日-21日,在2023第二届中国汽车信息安全与数据安全大会上,针对智能网联汽车面临的信息安全风险,华人运通信息安全负责人王思远认为,主要包括数据处理、数据合规、访问控制三大板块。
而关于信息安全落地措施,王思远表示,可以从“安全管理”和“安全技术”两个层面来规划和保护信息安全。
王思远 | 华人运通信息安全负责人
以下为演讲内容整理:
目前能够感知到,整个监管行业,不管是公安、网信办,还是工信部、信通院对智能网联汽车企业信息安全要求都比较高。
信息安全对生活和社会发展的影响
一直以来,大家都认为AI一定是未来的趋势。从ChatGPT开始,小朋友、年轻人、老人都会用到AI的技术。而整个AI算法,包括涉及到的数据,在发展过程中存在着较多的问题。但不能因噎废食,AI的发展还在继续。对智能网联汽车而言也是相同的情况,智能网联汽车也遭到诸多挑战。
ChatGPT会涉及到三大数据安全的问题:第一获取数据合法性的问题,训练像ChatGPT这样的大型语言模型需要海量自然语言数据,其训练数据的来源主要是互联网,但开发商OpenAI并没有对数据来源做详细说明,数据的合法性就成了问题。
第二使用过程中造成的数据泄露问题,AI做任何分析和分享都建立在模型之上,后续也一定会存在数据交互,所以没有绝对的数据泄露不太现实。
第三数据可能被恶意使用,因为从AI角度而言,输入一个问题或输入一个指令,它很难通过输入信息来判断行为目的。
因此,AI安全工作未来也将应运而生,比如怎样进行数据保护,如何告知用户,如何分析用户行为,或者及时终止违法行为。
信息安全法律法规和车联网行业标准
我国高度重视对信息安全,每年国家都会举办网络安全宣传周。在车联网行业也有相关的法律法规、政策文件和技术标准需要落地和遵守。
首先是三法,《网络安全法》《数据安全法》《个人隐私保护法》,这三法必须严格遵守。而且从今年的各监管力度来看,从执法、监督以及判罚上会更上一层。
其次针对数据安全,还有《汽车数据安全管理若干规定(试行)》,其中指出了汽车的重要数据,像车企,每年年底都要向监管提交重要汽车安全的年报,基本会针对7类数据,车企需要解释今年的7类数据有哪些,各自的情况如何。企业要自查,企业监管会抽查。
华人运通在整个业务中按照法律法规的要求严格执行,并在各场景中进行细化,希望能给予行业一些更好的指导原则。
现在车联网行业的技术标准特别多,涉及到数据分类、涉及到AI属性,如ADAS有人脸安全识别,涉及到车内还有声纹、语音方面的安全。
在实际执行时,企业需要根据各个场景进行,如梳理自动驾驶ADAS业务时,我们会参考ADAS的相关标准,再结合国家法律法规考量自动驾驶ADAS从数据采集到数据返回,再到作业间如何做数据脱敏、数据分析。当敏感数据全部去掉后,哪些数据可以用,在哪个平台用,使用过程中还要注意哪些内容,就是整个ADAS的场景。这是其业务流,再往下会涉及到车有哪些人,他们涉及哪些物理场景。
现在,很多车企都在出海,海外市场也需要严格遵循标准。海运最大标准的是GDPR,GDPR的监管力度、判罚力度非常严。美国也有相关法律,包括《加州消费者隐私法案》《美国数据隐私和保护法》《美国儿童在线隐私保护法》,在之前TIKTOK在美国受到打压时,美国政府拿出州的、国家的、甚至是某个业务的法律来一条一条核对。即使TIKTOK的CEO已经表示,其业务在美国有专门的数据安全团队,也有建立企业的防火墙,和中国政府没有关系,美国依然会对每条标准进行核对。
未来,中国的车企出海需要对各个国家的法律法规认真解读。有些可以从法律、备案和文书层面解决,有些需要通过技术手段加强。
此外,欧洲国家也有相关的数据或隐私保护法,东南亚一些国家也在陆续出台数据安全的保护法。但其大框架或对标的内容基本都来自于GDPR。
智能网联汽车的主要信息安全风险
从智能网联汽车的业务属性来看,存在着较大的风险。第一大家的本能反应是,车如此智能,那是否安全?换言之自动驾驶如此先进,不用人工介入,一旦程序被攻击,车会怎样?第二众多的联网功能、采集摄像头,哪些信息会被采集?是否可以上云?典型的案例就是前年的滴滴事件,后续也推动了国家的数据安全隐私保护以及车联网数据安全要求。
总体来看,智能网联汽车面临着以下几点风险:
第一智能网联汽车的业务场景会收集到很多信息,这些信息应如何分类分级,如何存储,如何做数据脱敏和加密。
第二在数据合规上,如何依法合规采集和处理客户个人信息,避免发生客户信息泄露,防止数据被篡改。
第三访问控制,我们有那么多的车内外数据,业务场景间如何访问。因为有些数据是不出车的,如ADAS数据,因为会采集到车牌和人脸,必须按照国家标准严格做好脱敏后,才可以出车上云。还有些业务是出车的,可能在云上,云还分公有云、私有云,在不同的业务场景中,数据该如何调用,权限如何控制,如何做到安全合规,是挑战,也是我们要研究的方向。
智能网联汽车信息安全建设心得
车企在不同阶段,应该做哪些事情?这里分为三个阶段,这三个阶段不光是智能网联车企,针对其他企业也有所适用。
第一个是0-0.5阶段,这个阶段的挑战包括安全团队应该铺多少人,基本的安全防御能力建
设,基本的安全意识培训和基本的安全制度建设
第二个是0.5-1阶段,此时专业性的信息安全团队已具备;安全防御能力上网络数据和终端都有;并且满足监管合规要求的安全体系,等保、ISO;这个阶段基本上监管要求以及任务会触达企业,因为到了一定规模,而且已经有量产的车。像汽车数据安全年报肯定得交,攻防演练、护网、数据和网络安全评估、数据安全年报、安全事件应急响应机制等都有要求;最后针对整个安全体系建设和落地需要安全团队和业务部门联动,频次和深度可以根据实际情况来定。
第三是1-N阶段,最大的挑战是每年老板会问,你去年都做了吗?今年做什么?有可能今年业务多了,原来两部车,今年三部车,原来5000员工,今年8000员工。但从真正要做深度精细化安全运营来说,最好的方式还是精准有效的安全事件监控,因为这时候你可以和老板讲,人数翻了一倍不代表资源翻了一倍,也不代表运营团队翻一倍,这会是很好的博弈。拿数据说话,攻击风险、漏洞风险、数据泄露的风险有哪些,目前做了哪些工作,接下来需要业务部门改哪些,全部要讲细。到业务层面上老板就可以理解,再来谈今年安全需要往哪几个场景深化。此时,我们需要有可闭环的安全风险追踪。但到了这个阶段,安全最好的推动方式就是做安全风险收敛,列出来运营的情况,有哪些风险,风险再细化,每周要关掉哪些,把这些东西梳理清晰,也便于安全管理。
关于安全建设方面,安全需要有平台的概念,需要把数据以业务场景化的方式串起来,落到具体员工的行为和业务特征。
针对以上工作我们该如何做?
从体系层面来讲,我们还是遵循ISO 27001和ISO 27701,华人运通在去年8月取得了双认证,体系涵盖公司所有的职能部门和中国所有的SET,包括工厂、门店和交付中心。
技术层面和风险管理一一对应,有时一些新的安全合作伙伴拿了新的技术和产品来,听很神奇,但对应不到具体的业务场景,是很难说服业务老板的。
从组织架构来看,下图是华人运通的组织分层,企业发展需要良好的组织保障。
图源:华人运通
从整个公司来看,针对安全事件应急处理、安全应急响应和风险评估,需要对接一些监管部门,可能涉及到公安、网信办、通管局、工信等等,目前我们是按照国内的三法加上欧盟的GDPR。
从企业安全层面来看,就是ISO27001和ISO27701,从测量安全来看就是ISO21434和SUMS。
从信息安全技术合规来看,一个是大家讨论比较多的数据安全,即防泄密,尤其像车企这种研发型企业,管理层最关心的就是研发数据、代码和图纸是否管好。另外像手机端,现在很多公司基本上不发手机,手机端会装类似于飞书的软件,如果数据手机端数据泄露,应该怎么管?我们会进行相关监测。
从数据安全治理层面,可以进行分类分级、敏感词监测、敏感数据加密脱敏、数据获取和外发管控,以及数据接口管控。
最后是网络安全,因为车企有很多供应商,外部供应商能不能连上我的网络,终端准入应该怎么做,接入后通过上网行为管理应该怎么管,我们会有终端准入和上网行为管理以及配套的防火墙和态势感知能力。
(以上内容来自华人运通信息安全负责人王思远于2023年4月20日-21日在2023第二届中国汽车信息安全与数据安全大会发表的《智能网联汽车信息安全实践心得》主题演讲。)
文章来源于互联网:华人运通智能网联汽车信息安全实践心得