【谈思月度盘点】3-5月汽车网络安全产业事件金榜Top20

谈思实验室 2024-06-04 17:55

构建AI未来，Arm计算平台无处不在 芯片现货市场行情分析

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

作为汽车网络安全产业发展的观察者、见证者及记录者，我们谈思将和同仁们一起为汽车网络安全落地献智献策，探讨智能汽车行业的新方向，共同拓展汽车网络安全产业新机遇！

2024年，我们继续为业内同仁们收集整理产业标志性事件、产业要闻、技术动态、最新监管政策、白皮书发布等，助力大家把控行业动态，关键信息一网打尽！

Tesla Model 3新漏洞：一部智能手机即可把车开走

3月11日，安全研究人员演示了如何进行网络钓鱼攻击，以危害Tesla车主的帐户、解锁汽车并启动发动机，此次攻击与特斯拉应用程序最新版本4.30.6和汽车固件版本11.1 2024.2.7有关。该研究的作者向特斯拉通报了发现的漏洞，并指出将汽车与新手机连接的程序安全性不足。

欧洲议会批准《人工智能法案》，为全球首部全面监管AI法规

3月13日，欧盟议会以523票赞成、46票反对和49票弃权审议通过《人工智能法案》，标志着全球人工智能领域监管迈入全新时代。该法旨在保护基本权利、民主、法治和环境可持续性免受高风险人工智能的侵害，同时促进创新并确立欧洲在该领域的领导者地位。该法规根据人工智能的潜在风险和影响程度规定了人工智能的义务。

约10万名客户信息泄露日产澳大利亚发布致歉声明

3月13日，日产澳大利亚分公司近日发布安全公告，在确认并报告系统遭到黑客入侵3个月之后，目前已经开始联系约10万名客户，并告知其个人信息已经被泄露。

日产在公告中表示，已经确定在本次攻击事件中，约有10万人的个人信息被黑客窃取。其中大部分人是该公司金融服务部门服务的客户，这些员工在日产、三菱、雷诺、Skyline、英菲尼迪、LDV和Ram品牌下销售产品。从报道中获悉，在受影响的人中，预估有1万人的“身份证”信息曝光，此外预估约有7500人的驾驶执照、4000人的医疗保险卡、1300人的税务档案号和220人的护照信息泄露。

中汽协会数据分会组织制定的《汽车企业数据安全管理体系要求》团体标准正式发布

3月19日，由中国汽车工业协会数据分会组织制定的团体标准T/CAAMTB 189-2024《汽车企业数据安全管理体系要求》正式发布。该标准主要针对汽车企业数据安全管理体系提出相关要求，其发布与实施有效填补了我国汽车行业在数据安全管理体系规范方面存在的空白，对智能网联汽车生产企业以及车联网服务提供商 “建立健全汽车数据安全管理体系”的要求有着指导意义。

GB/T 43697-2024《数据安全技术数据分类分级规则》发布

3月21日，国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》正式发布，给出了数据分类分级的通用规则，为数据分类分级管理工作的落地执行提供重要指导。该标准将于2024年10月1日起正式实施。该标准明确了数据分类与分级的基本原则，包括业务相关性、数据敏感性、风险可控性等。

美国商用卡车电子日志设备被曝存在严重安全漏洞

3月25日，科罗拉多州立大学研究人员在2024年网络和分布式系统安全研讨会上提出，美国商用卡车使用的电子日志设备ELDs存在安全漏洞，可影响超过1400万辆中型和重型车辆。研究团队发现这些设备可通过蓝牙或Wi-Fi连接被访问，从而控制卡车，操纵数据并在车辆间传播恶意软件。研究团队向制造商和美国网络安全与基础设施安全局披露这些漏洞。

天津出具首张智能车联网示范应用数据资产登记证书

4月2日，针对河北区智能车联网数据，天津数据资产登记评估中心出具了天津市首张《智能车联网示范应用数据资产登记证书》，为河北区后续推进车联网数据资产化和智慧交通建设奠定基础。

首批智能网联汽车“临港标准”正式发布

4月3日，首批智能网联汽车“临港标准”正式发布，包括《DB 31-LGXPQ/Z 001—2024无驾驶人智能网联汽车车身标识及装置要求》《DB 31-LGXPQ/Z 002—2024智能网联汽车安全员培训和管理规范》《DB 31-LGXPQ/Z 003—2024智慧道路建设规范》。下一步，临港新片区管委会将组织标准起草组专家对三项标准进行详细解读，推动标准的落地应用。同时，结合临港新片区智能网联汽车标准体系建设，从制度创新、应用建设、数据建设、要素建设四个方面持续开展标准的研究制定，推进临港新片区智能网联汽车标准化工作，推动新片区智能网联汽车产业安全、快速发展。

“8年齐相聚，硬核论安全” 谈思AutoSec 8周年年会于4月11日在上海盛大开幕

4月11日，由谈思实验室、谈思汽车主办，上海市车联网协会联合主办的谈思AutoSec 8周年年会暨中国汽车网络安全及数据安全合规峰会在上海盛大开幕。该峰会被誉为产业风向标活动，包含1场主论坛+3场特色分论坛，汇聚50+顶尖大咖演讲，30+国家和地区的国际头部汽车网络安全企业、60+汽车厂商，100+优质安全展品，1100+专业观众，阵容豪华，内容硬核。

今年的AutoSec 8周年开启报名后，业内嘉宾争相报名，注册人数远超往年。参展企业不断突破，报名的企业有西部数据、泽鹿安全、Vector等，来自美国、俄罗斯、法国、德国、以色列、匈牙利、西班牙等30多个国家和地区的国际头部汽车网络安全企业齐聚上海，亮剑汽车网络数据安全难题，结合全球资源共商合作，共谋发展。

欧盟委员会发布《数据法案》指南

4月21日，欧盟委员会发布了《数据法案》指南（The Data Act）。该指南进一步明确了《数据法案》的实施目标及实际运作方式，目的是在数据经济中促进公平性，并帮助用户从联网产品数据中获取价值。《数据法案》的主要内容是：赋予联网产品用户更大的数据控制权；明确企业在共享数据时需遵循的法律义务；确保数据共享的合法性和透明度；规定数据处理服务的互操作性和无缝切换；防止第三国政府非法获取欧盟境内的非个人数据；明确欧洲数据空间的管理标准和互操作性要求等。

黑客组织利用 Carbanak 后门瞄准美国汽车行业

4月22日，黑客组织 FIN7 针对美国一家大型汽车制造商的 IT 部门的员工发送了鱼叉式钓鱼邮件，并利用 Anunak 后门感染了该系统。据黑莓公司的研究人员称，该攻击发生在去年年底，依赖于二进制文件、脚本和库（LoLBas）。黑客重点攻击了那些具有高级权限的员工，并通过链接到冒充合法的高级 IP 扫描器工具的恶意 URL 引诱他们“上钩”。

大众汽车遭黑客入侵长达5年，燃油引擎/电池等机密文件泄露

4月30日，德国大众汽车（Volkswagen）近日披露了一起严重的安全事件，该公司声称其在2010年至2015年期间遭到黑客入侵长达五年之久。据悉，这些入侵始于2010年，并在2011年取得突破，成功获得了大众公司的服务器权限。此后，在2014年期间多次将机密文件传送到了外部服务器。

据大众公司统计分析，黑客访问了一系列与燃油引擎、双离合器变速箱、电池等技术相关的文件。据称，共有超过1.9万份文件遭到窃取。此次安全事件对大众汽车来说是一次严重的打击。虽然目前还没有详细公开被窃取的机密文件内容和目的，但可以推测这些信息可能与该公司的核心技术相关。此次安全事件也让人们再次关注到企业内部网络安全问题的重要性。

美国国家公路交通安全管理局推出汽车安全新规

5月1日，美国国家公路交通安全管理局(NHTSA)正在推出一项新规，要求该国大多数新车和卡车在2029年9月之前配备自动紧急制动(AEB)。国会指示NHTSA为AEB系统设定最低标准，该系统使用摄像头和雷达等传感器来检测碰撞的可能性，并在驾驶员未能及时反应时自动制动。该技术必须在白天和晚上都能识别行人。

自然资源部、工业和信息化部联合发布《关于规范移动互联网应用程序中登载使用地图行为的通知》

5月11日，自然资源部、工业和信息化部联合发布《关于规范移动互联网应用程序中登载使用地图行为的通知》，规范APP登载使用地图行为，营造规范健康的互联网地图服务市场环境。

其中提出各地自然资源主管部门要加大标准地图投放力度，继续通过标准地图服务系统以及国家地理信息公共服务平台“天地图”向社会公众免费提供标准地图和具有审图号的地图。同时各地自然资源主管部门、电信主管部门应建立信息共享、应急处理、联合惩戒等工作机制，形成工作合力。

上海试点智能网联汽车等跨境数据传输，特斯拉中国数据有望赋能全球

5月17日，中国（上海）自由贸易试验区临港新片区管委会发布了全国首批数据跨境场景化一般数据清单及清单配套操作指南，包含智能网联汽车、公募基金、生物医药3个领域。其中涉及智能网联汽车行业的数据包括：采购和库存等制造信息、汽车设计和测试等研发信息、售后服务信息以及二手车销售信息。

最新发布的文件显示，在为期一年的试点项目中，在特斯拉上海工厂所在的上海自贸临港片区注册的企业可以将被列入清单的数据转移到海外，而无需进一步的安全评估。这是中国进一步吸引外国投资的最新举措。

宝马因安全带系统故障在美召回3256辆汽车

5月19日，据美国国家公路交通安全管理局披露，宝马北美有限责任公司将召回部分2024款XM、2025款宝马X5 sDrive40i、X5 xDrive40i、X5 M60i、X5 M、X5 xDrive50e、X6 xDrive40i、X6 M60i、X6 M、X7 xDrive40i、X7 M60i和Alpina XB7车型，共计3256辆。召回原因为：安全带系统可能无法准确检测乘客是否系好安全带，导致安全带警告灯无法点亮，并可能导致辅助约束系统在碰撞过程中无法按预期部署。

四部门：推动新能源汽车融入新型电力系统，推进城市智能基础设施与智能网联汽车协同发展

5月20日，国家发改委、国家数据局、财政部、自然资源部四部门发布《关于深化智慧城市发展推进城市全域数字化转型的指导意见》，其中提出，统筹推进城市算力网建设，实现城市算力需求与国家枢纽节点算力资源高效供需匹配，有效降低算力使用成本。建设数据流通利用基础设施，促进政府部门之间、政企之间、产业链环节间数据可信可控流通。推动新能源汽车融入新型电力系统，推进城市智能基础设施与智能网联汽车协同发展。

网安标委印发《网络安全技术生成式人工智能服务安全基本要求（征求意见稿）》

5月23日，全国网络安全标准化技术委员会制定并发布了《网络安全技术生成式人工智能服务安全基本要求（征求意见稿）》。《要求》规定了生成式人工智能服务在安全方面的基本要求，包括训练数据安全、模型安全、安全措施等，并给出了安全评估参考要点，旨在帮助服务提供者明确生成式人工智能服务网络安全基线、提高服务安全水平，适用于服务提供者开展安全评估，也可为相关主管部门提供参考。

工信部印发《工业和信息化领域数据安全风险评估实施细则（试行）》

5月24日，工业和信息化部印发《工业和信息化领域数据安全风险评估实施细则（试行）》。其中提出，重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为一年，以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境，以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。

自然资源部发布《智能网联汽车时空数据安全处理基本要求（征求意见稿）》

5月24日，为了加强对智能网联汽车时空数据的安全处理，保障用户的数据隐私和信息安全，自然资源部(国土)自然资源部地图技术审查中心组织完成了《智能网联汽车时空数据安全处理基本要求（征求意见稿）》。《要求》规定了智能网联汽车对时空数据进行保密处理，以及存储、传输等环节进行地理信息安全处理的基本要求，适用于面向社会销售且在中国境内运行的智能网联汽车。