1000多款汽车存安全漏洞，工信部标准体系呼之欲出

随着智能网联汽车渗透率快速提升，越来越多的车载组件漏洞为攻击者提供了获取消费者和制造商敏感数据、访问车辆控制装置，甚至是盗窃车辆的新方法。

据中汽数据总经理冯屹介绍，中汽数据CFID漏洞库截至去年底共收录了2945个安全漏洞，而到今年8月底已经超过了3700个漏洞，共涉及车型1000多个，业内“流行”的漏洞重复率达到了70%。

新华财经记者了解到，工业和信息化部目前正编制《车联网安全专项行动计划》，常态化推进车联网安全定级备案、分级防护、远程检测、通报处置等制度机制。根据政策层目标，到2023年底，将初步构建起车联网网络安全和数据安全标准体系，完成 50 项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。

网络攻击大幅增长

车联网通过贯通汽车、道路交通运输、云网通信和平台等关键要素，已成为汽车行业新的发展方向。然而，与此同时，信息泄露和网络攻击也如影随形，且风险呈高发趋势。

研究机构Upstream日前发布的报告显示，2021-2023年，全球公开发布的汽车网络安全事件超过了1300多起；过去5年中，全球汽车行业因为网络攻击遭受的损失超过5000亿美元。根据对2010-2023年间汽车网络安全事件的分析，发现其中30%的事件包括潜在的数据泄露影响。

关系到车主信息泄露的消息近年来多次引发社会讨论。今年5月，丰田汽车承认，由于丰田云平台系统的账户性质被设置为“公共”而非“私人”，导致车辆的地理位置、识别号码等数据处于开放状态，近十年里约215万用户的车辆数据或被泄露。2022年12月，蔚来承认公司收到外部邮件，声称拥有内部数据，并以泄露数据勒索225万美元等额比特币。

与此同时，真实网络攻击数量也逐年攀升，几乎呈现几何级增长。中国工程院院士、清华大学教授李克强表示，今年上半年针对车联网平台的网络恶意行为已经超过100万次。

“如果不同的车型搭载了同一个关键部件，而这个零部件存在技术漏洞的话，那漏洞就可能在不同的车型上都会体现。”中汽数据总经理冯屹说。

这一点也得到了360安全科技副总裁吕欣鸿的印证。“360之前在破解汽车的时候，最早是从汽车后市场发现问题，一些零部件的安全问题反渗透到车企。”吕欣鸿说：“在国家组织的网络安全攻防演练中，大家也能发现很多车型不堪一击，是‘裸奔’的状态，给产业链带来了很大伤害。”

不仅如此，随着软件定义汽车趋势愈发明显，加之大语言模型的火热和辅助驾驶功能的渗透率提升，车辆的开放性越来越强，网络攻击甚至已经蔓延至运营商端。记者从联通智网科技了解到，在此前的专项行动中，监测到“技术人员”利用已经装载在车上的车联网卡，对运营商网络设施、车厂OEM云端后台进行扫描和攻击。

车企面临三大难题

对车企而言，车联网安全也是无法回避的重大课题。一旦丢失车辆信息和车主数据，汽车厂商将面临极其昂贵的恢复成本以及灾难性的法律违规后果。不仅如此，信息安全正成为影响消费者购车决策的重要因子，对海外市场和出口来说也十分关键，车辆安全程度被看作是车企在智能化竞争中走向分化的又一“分水岭”。

然而，新华财经记者调查发现，目前智能网联汽车的安全防护产品供应仍无法满足整车厂商需要。一位汽车业内人士对记者表示，汽车安全责任在主机厂，安全是刚需，研发部门对网络安全的生产压力是非常大的，但“市场上能够满足我们整体需求的比较成熟的产品，到目前为止，一套也买不到。”

冯屹认为，目前汽车企业的网络安全自身能力建设面临三个共性的难题，一是整车企业的软件开发非常不规范；二是不同企业网络安全技术水平参差不齐；三是进口零部件的自主性差，相关国外企业应对不积极。

安全领域机构负责人也注意到相似问题。“车联网安全实际跨很多行业，但现在产品小而散。单独的 IDPS/VSOC 还有做数据防护分析，不仅不能完全解决智能网联汽车安全，反而会导致恶性竞争严重，甚至本来100万元的一个项目，可能10万也就做了，这样‘卷’下去对行业健康不利。”一位负责人表示：“我们真正需要的是一个系统化、体系化的解决方案，而这需要多方的努力和协同。”

上汽集团软件中心CSO张东海认为，安全行业目前是一片红海。“各种防护手段、各种系统工具很多，但实际上我们更希望的是能够一起共创、找到各自生态的定位，共同把行业企业做大做强。”他同时提到，目前一些关键技术标准和法律法规不够细化，在具体落地和监管层面还比较难操作，令企业感到困惑。

亟待建立协同机制

机构监测数据显示，中国市场乘用车联网前装标配搭载量2022年已突破1300多万辆，渗透率近70%。与传统信息安全问题不同，当前汽车功能安全、网络安全与数据安全三重安全问题交织，再也无法“分而治之”，这无疑对产业链上下游提出了新的要求。

中国工程院院士邬江兴认为，现行网络安全范式如果照搬到智能网联汽车领域是有问题的。“不能‘天天曝漏洞、日日打补丁’，疲于奔命却还不安全，而且打补丁会不会造成全局性影响我们也不知道。”

国家智能网联汽车创新中心副主任辛克铎分析，云网一体化汽车需要的安全产品，第一要轻量化，不仅材料轻量化，更重要的是加密算法密钥轻量化；二是高时效性，需达到毫秒级；三是高可靠，出问题不能像电脑一样关机等待重启；四是大冗余，不能出现死机现象。

辛克铎建议，做好准入安全评测引导、做好分类分级测评，同时要推进责、权、利的一致，“希望所有责任由主机厂承担是有困难的，期待车联网安全涉及到的各方能一致投入、共同扶持。”中国信息通信科技集团副总经理陈山枝则建议，要加强车联网数据安全监管执法，同时建立协同机制，加强政府与行业协会、企业之间的沟通。

这一方面，在9月22日举行的2023年世界智能网联汽车大会“集智创新车联网安全新格局”特色专场上，车联网安全集智联盟正式成立，发布了首批标准应用先导企业（服务平台类）和《智能网联汽车网络安全能力评价指南（试行）》，并宣布启动车联网安全测试场建设。据悉，未来联盟将充分发挥桥梁纽带作用，推动我国车联网安全协同创新和应用探索。

来源：新华财经