【谈思月度盘点】11月汽车网络安全产业事件金榜Top10

谈思实验室 2024-12-02 17:52

构建AI未来，Arm计算平台无处不在 如何提升高压系统的实时性能?

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

3项网络安全国家标准获批发布

11月5日，根据2024年10月26日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第24号），全国网络安全标准化技术委员会归口的3项国家标准正式发布。具体清单如下：

四维图新通过ISO/SAE 21434汽车网络安全管理体系认证，开启智能出行新篇章

11月7日，在第七届中国国际进口博览会(CIIE)期间，北京四维图新科技股份有限公司（以下简称：四维图新）荣获SGS通标标准技术服务有限公司（以下简称：SGS）颁发的ISO/SAE 21434汽车网络安全管理体系认证。此次获得认证，是对四维图新汽车网络安全管理水平的高度认可，也为汽车行业的智能化、网联化发展树立了新的标杆。四维图新高级副总裁宋铁辉、质量体系部总经理李干朋与SGS中国总裁郝金玉共同出席颁证仪式，见证这一重要时刻。

特斯拉、比亚迪、蔚来等6家车企首批获得国家汽车隐私保护标识

11月8日，“汽车隐私保护”标识在2024中国汽车软件大会上正式发布，中国汽车工业协会总监韩昭，中国电子技术标准化研究院、网络安全研究中心数据安全部主任郝春亮共同为首批通过测评的比亚迪DM-i及其相关车型、蔚来ET7及其相关车型、理想L9及其相关车型、路特斯Eletre、特斯拉Model Y及其相关车型、哪吒S等20余种车型颁发证书。会上同时授权相应车辆使用“隐私保护”标识。

马自达汽车系统漏洞引发安全危机：黑客可执行任意代码

11 月 10 日，安全公司趋势科技近日发现日本汽车制造商马自达旗下多款车型的 CMU 车机系统（Connect Connectivity Master Unit）存在多项高危漏洞，可能导致黑客远程执行代码，危害驾驶人安全。

这些漏洞影响 2014 至 2021 年款 Mazda 3 等车型，涉及系统版本为 74.00.324A 的车机，黑客只需先控制受害者的手机，接着趁受害者将手机作为 USB 设备连接到 CMU 车机系统之机，即可利用相关漏洞以 root 权限运行任意代码，包括阻断车联服务、安装勒索软件、瘫痪车机系统，甚至直接危及驾驶安全。

因隐瞒事故细节，通用汽车旗下自动驾驶公司Cruise被罚50万美元

11月14日，据美国司法部（DOJ）公布的消息，通用汽车旗下自动驾驶出行公司Cruise因未披露去年10月一起涉及行人的事故细节，同意支付50万美元罚款。美国司法部表示，Cruise在事故发生后隐瞒了某些细节，导致行人严重受伤。除了罚款，Cruise还需实施安全合规计划，提交年度报告，并配合政府调查。Cruise首席行政官表示公司承诺与监管机构保持透明。

福特客户数据遭泄露

一名威胁者声称在黑客论坛上泄露了 44,000 条客户记录，还暗示黑客“IntelBroker”参与了 2024 年 11 月的泄密事件，泄露的福特客户记录中包含有客户信息，包括全名、位置、购买详细信息、经销商信息等。

暴露的记录并不是极其敏感，但它们包含个人身份信息，这些信息可能会导致针对暴露个人的网络钓鱼和社会工程攻击。目前，威胁者并没有试图出售该数据集，而是以 8 个积分（相当于 2 美元多一点）的价格将其提供给黑客论坛的注册会员。

福特根据正在进行的调查的新发现确定福特的系统或客户数据没有遭到破坏。此事涉及第三方供应商和一小批公开的经销商的营业地址。目前此事现已得到解决。

17家单位联合发布《工业和信息化领域数据安全合规指引》

11月19日，中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会等17家行业组织联合发布了《工业和信息化领域数据安全合规指引》。改文件详细规定了数据处理活动中的基本要求、数据分类分级管理、数据安全风险评估、数据安全事件应急处置等内容，并提出了加强数据全生命周期安全管理的具体措施。通过这些措施，旨在构建一套适应工业和信息化领域特点的数据安全管理体系，提高整个行业的数据安全水平。

《网络安全技术终端安全监测产品互联互通接口内容和格式》公开征求意见

11月20日，中国网络安全产业联盟（CCIA）正式启动了《网络安全技术终端安全监测产品互联互通接口内容和格式》技术规范的公开征求意见工作。该技术规范详细定义了终端安全监测产品之间进行信息交换的接口内容和数据格式，确保不同品牌、不同类型的终端安全监测产品能够实现数据共享和协同工作。其主要内容包括但不限于：接口协议的选择与设计、数据交换的标准格式、安全监测信息的分类与编码规则等。

《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》

11月21日，全国信息安全标准化技术委员会（简称“网安标委”）正式发布了《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》。此《实践指南》旨在为粤港澳大湾区内的个人信息处理者提供明确的操作规范，确保个人信息在跨境处理过程中的安全性和合法性。《实践指南》明确规定了个人信息跨境处理过程中应遵循的基本原则和具体保护要求。