智能汽车网络与数据安全新媒体
转眼间,2024年已经落下帷幕,它终于过去了,这或许是很多汽车网安从业者失眠最多的一年。
在降本增效已成为行业常态的大背景下,经济下行、市场内卷、技术革新、强标发布等多重挑战的叠加,使得汽车网络与数据安全行业面临着前所未有的考验。在历经了焦虑与迷茫后,仍旧主动或被动地被行业裹挟着前行,或许是不少汽车网络安全工作者的现状写照,但在挣扎之余,对于行业的发展前景、从业挑战等,我们一线从业者们想必也有了新的行业洞察与深思。
为倾听汽车网络与数据安全行业的真实声音,谈思汽车于11月底发起了一项关于从业者生存现状的匿名问卷调研,近100位从业者积极配合与支持,我们获得了许多有效反馈。
经过一个多月的陆续收集和整理,现在将生存报告完整地奉献给大家,真实的数据更有力量!
2024年度关键词出炉
降本、合规、内卷
总体概况,在本次调研中,“降本”“合规”“内卷”成为诸多参与者用来概括2024年汽车网络安全行业发展现状的高频关键词,这3个关键词票数非常相近,很好地体现了行业共识。除了问卷的反馈,其实这三个关键词在平时的交流中,也时常被谈及。
正如这三个关键词所传递出来的压力与低迷,具体到相关业务投入、团队规模变化、车企与安全厂商合作难题等问题上,不少受访者也给出了相对消极的反馈,当然,其中也不乏充满希望的声音。
接下来,谈思汽车将对这些反馈做细致梳理,希望通过对百位从业者所观所思的分析,全面真实呈现汽车网络与数据安全行业的生存现状及面临的主要挑战,从而为从业者和产业链企业的发展规划提供些许参考。
(文末附有效问卷原始数据表下载)
汽车网安从业者
生存报告
01
从业者概况
1.1 公司类型
受访者主要来自整车制造商(OEM)和一级供应商(Tier1),分别占比40.4%和23.1%,来自安全产品供应商和检测认证机构的则是19.2%和13.5%,一定程度上确保了本次问卷调研样本的产业链代表性,另一方面,也体现了企业规模大小在面对多重挑战时的生存能力。
1.2 职业分布
本次参与调研的主要从业者包括网络安全工程师、法规与合规专家、产品经理或管理层、渗透测试工程师等,其中网络安全工程师占比最大,为54.7%,且基本分布于上述所有类型的公司,相较之下,渗透测试工程师则仅占比7.6%,这也一定程度上印证了许多受访者认为当前行业较为稀缺的技能为“网络渗透测试与漏洞分析”一点。
1.3 从业时间
超过40%的受访者在汽车网络与数据安全领域工作时间不足3年,这部分受访者一半来自整车厂商,一半来自Tier1;从业时间超过3年的则有59.6%,其中更是有36.5%的受访者超过5年,总体而言,该行业还是具有可观的发展潜力。
此外,据谈思汽车此前分析,业内普遍认为2017年是中国汽车网络安全市场的重要时间点,在这一时间点后,相关企业雨后春笋异军突起(前文链接),这一点倒也符合大部分受访者的从业时间不超过5年。
1.4 工作满意度:平局6.7分
当受访者以1分和10分为打分范围,为目前工作的满意度打分时,超过7分的占比50.9%,低于6分的占24.5%,均分为6.7分,整体偏低,这或许和当前全球汽车行业低迷、汽车网络与数据安全行业尚处于合规驱动阶段有一定关系。
值得一提的是,有从业时间超过5年、当前供职于Tier1的受访者对其工作满意度仅为1分,并表示“已经在规划换工作”,被问及工作发展瓶颈时,该受访者坦言:“传统制造业升不上去,都是固有既定利益者。”
而满意度为10分的则有3位,有2位是来自检测认证机构的法规与合规专家,还有1位是来自安全产品供应商的产品经理/管理层,联系到今年8月份相关强标相继推出,法规政策解读重要性提升的背景,或许可以理解一二。
其他作为参考的数据是,从事技术岗的整体工作满意度为6.2分(低于整体均分),而非技术岗为6.9分(高于整体均分)。
1.5 预警!超过77%的从业者正考虑换工作
随着新一轮价格战已拉开序幕,降本的压力无疑从市场传导到车企,进而再一层层传到整个产业链,而汽车网络安全这个目前尚处于“花钱”阶段且似乎短期内难以看到盈收的业务,尽管受制于国内外多项法规政策的要求而不可或缺,甚至有不少企业相继增加了在该业务上的投入,仍有合计高达77.4%的受访从业者,开始计划“换工作”或“如有合适机会,会考虑”。这一比例之高,值得引起所有企业高层和安全管理人员的高度注意!
究其原因,根据受访者在“是否感受到行业内职业发展的瓶颈”一题中的反馈,主要分成以下几种:
① 行业竞争与内卷问题:
如价格战、内卷;行业太内卷;cyber从业者缺乏资金支持,很多事情不好落地等。
② 行业标准与规范缺失:
如无标准的测试规范;没有规范标准的技术和方案。
③ 市场需求与项目机会:
如市场量决定了发展上限;项目机会少,难以深入主机厂业务;大环境在收缩等。
④ 职业发展与认可问题:
如汽车网络安全相关从业者如果没有IT网络安全的各种资质证书来背书,只靠做过的相关项目,难得到IT行业的认可;安全专业,尤其是信息安全专业还是难以参与到业务开发。后期容易遇到瓶颈;感觉搞安全的(部门)越来越被边缘化了,走职业化路子有点窄等。
⑤ 技能与知识需求:
如缺乏软件开发能力,影响进一步提升;需要综合多个专业学科,网络安全知识沉淀和认知广度需要拓展等
需要强调的是,虽然对当前职业发展预期呈悲观态度的居多,但还是有1/4的受访者在面对一些共性的职业发展瓶颈时,坚定地选择了“不考虑”换工作这一选项,并认为“机会需要自己创造”,同时也指出了“要做的事情越来越对,可投入的预算难以匹配”这一矛盾现状。
02
行业发展概况
2.1 安全投入及团队增长偏积极
调研结果显示,汽车网络与数据安全业务投入增加或没有变化的企业数量占比58.5%,投入减少的则占比32.1%,尚不足1/3,且这些投入或增加或没有变化的企业中,相关业务的团队规模处于或扩招或没变化状态的超过3/4,这在降本、裁员成为今年全球汽车行业主旋律的大背景下,着实不易。
考虑到欧盟R155、R156以及国标GB 44495-2024、GB 44496-2024强监管的落实,无论车企是否考虑出海,都免不了在汽车信息安全与软件升级安全方面作出投入,以确保车型上市前满足相应的合规需求。
此外,随着智能汽车近些年的普及以及汽车安全事件的频发,用户端对车端的隐私安全、网络安全的重视程度也与日俱增,进而从市场端来迫使车企加大在这一安全需求上的投入。
作为佐证,在受访的12家车企中,仅有2家是明确减少了在汽车网络/数据安全方面的投入,并对相应的团队规模做了相应的精简,而加大投入并扩招团队的车企则占一半,且给出的增投扩招原因中,几乎都少不了“新的法规或合规要求(如UNECE WP.29)”这一点。作为主要需求端的车企呈现这一现状,对于产业的发展无疑是一大利好趋势。
当然,也有不少企业减少了汽车网络与数据安全业务的投入,占所有受访者的32.1%,且这其中的大部分企业也精简了相应的团队规模,根据受访者对“网络安全团队规模变化原因”这一问题的反馈,“成本控制”为首要因素,其次是“外包或合作伙伴支持”。
2.2 三大安全投入重点
自动驾驶与车联网安全
OTA安全
出海合规
2024年,端到端自动驾驶技术成为行业的焦点,各大车企和科技巨头纷纷投入巨资,争夺未来出行的制高点。这一过程中,大规模数据训练以及车联网技术的融合,让汽车网络与数据安全也面临着巨大挑战,进而使得“自动驾驶与车联网安全”成为车企、Tier1、检测认证机构、安全产品供应商等安全产业链企业的投入重点。
其次就是受智能网联汽车渗透率快速增长推动的OTA技术,其所引发的远程更新安全担忧,并且随着《汽车软件升级通用技术要求》的发布,OTA安全也进入强监管阶段,想必这也是企业关注“远程更新和OTA安全”投入的重要因素。相对应的,在受访的从业者中,分别有50.9%和47.2%的人认为“当前汽车面临的最大网络安全威胁”是OTA更细过程中的安全风险和自动驾驶与AI系统的安全隐患。
紧跟其后,就是对“出海合规”的投入关注。近年来,汽车出海成为中国汽车产业的一抹亮色,2023年,在新能源汽车的助力之下,中国汽车出口数量首超日本问鼎全球第一。站在这一起点上,尽管面对高筑的关税壁垒,多家车企“走出去”“走上去”的决心不变,并带动了产业链上下游、零部件配套体系的协同出海,汽车网络与数据安全产业也不例外,受访的部分Tier1、安全产品供应商、检测认证机构等表示“关注在出海合规方面的投入”。
2.3 法规评价
需不断完善法规政策同时,重视监管与惩处
近些年,工信部、网安标委、网信办、汽标委等单位陆续颁布了关于整车级安全、关键系统及部件安全、通信安全、云端与基础设施安全、数据安全与隐私保护等方面的法规标准,今年8月23日,随着对标欧盟R155和R156的《汽车整车信息安全技术要求》、《汽车软件升级通用技术要求》这两项重磅强标的发布,中国汽车网络与数据安全正式迈入强监管时代。
对于已经执行或即将执行的法规标准,认为“很完善,已经覆盖了大部分需求”的受访从业者占22.6%,零散分布于车企、Tier1、安全厂商与检测认证机构这些企业中,大多数受访从业者还是认为当前法规标准在细化空间及执行落实上存在改进空间,这其中,车企和Tier1合计占67.5%,安全产品供应商和检测认证机构则分别占比15%。
联系到对“当前汽车面临的最大网络安全威胁”这一问题的反馈中,有41.5%的受访从业者提到了“监管不到位导致的风险”,可见相关单位在不断完善法规政策的同时,还需要依照这些法规政策落实相应的监管与惩处。
2.4 车企与安全厂商的3大合作难点
数据共享有限
双方业务理解不足
责任划分不清晰
关于这一问题,车企视角下主要存在以下合作难点:
① 沟通与责任划分问题:
如需求沟通不清晰,导致责任归属不明;沟通对齐与责任划分不足
② 安全与知识产权问题:
如安全方案厂商无法保护企业知识产权;数据共享受限,无法完整测试安全问题
③ 成本与资源限制:
如需求实现受制于成本因素,供应商侧很难全面落地;成本管控、工程化落地
④ 实施与落地问题:
方案很理想,落地困难多;数据共享受限(会影响方案的测试和调整)
⑤ 认知与理念差异:
认知不一致,专业背景差一大,理念不一致;无法对齐
而供应商视角下则主要存在以下合作难点:
① 标准与需求差异:
不同整车厂之间实施标准不同,需求不一,很难落地普适方案;需求方缺乏标准和 knowhow,需求五花八门;整车厂需求什么与方案厂商能提供什么有时候不在一个维度
② 责任与职责划分问题:
责任划分不明确;开发责任,并不是网络安全责任;职责划分,需求理解不对等,最重要的是运维需求和费用满意澄清;责任划分不清,行业能力不足
③ 数据共享与信息流通限制:
数据共享受限;信息共享受限,成本限制
④ 预算与资源限制:
没有项目、预算有限;预算控制
⑤ 技术与合规挑战:
技术壁垒;在应对合规审核时,整车厂过度依赖外部安全方案厂商;项目全生命周期无法有效介入网络安全
⑥ 业务理解与合作:
整车厂对技术架构的理解不够深刻,无从判断安全机制是否需要下游供应商执行;不够了解主机厂业务及产线情况;整车厂按照功能性需求的方式来提网络安全需求,想到什么就要供应商做什么,安全需求不是来源于安全评估,而是主观臆断;厂商确实缺少对汽车行业业务的了解;整车厂迫于合规、而非安全本身的需求,所以对安全的投入有限
从双方的反馈里,“数据共享有限”“对对方业务理解不足”“责任划分不清晰”是车企和安全厂商在合作过程中面临的共性难点,差异在于车企更关注合规、预算和需求的多样性,而安全厂商更关注需求的差异性,技术壁垒和安全方案本身的价值。
此外,来自检测认证机构的受访者在“预算控制、责任划分、信息同步”这几个类似问题的基础上,还提及了“和项目研发的捆绑”以及“供应链网络安全能力”带来的合作难点。
03
职业现状与前景
3.1 多角度的工作挑战
关于汽车网络安全从业者目前面临的最大工作挑战这一开放性问题,本文主要选取了网络安全工程师、法规与合规专家、产品经理/管理层,这几个职位的反馈,完整内容可见问卷反馈源文件。
① 网络安全工程师视角
个人层面
主要集中在技术与知识的储备与更新方面,如
技术更新快、攻击方式多样;
需要的技术栈内容多,要不断跟进学习
安全知识面很宽,需要综合性人才
缺乏实践……
组织层面
主要集中在公司重视程度、资源投入、跨部门合作、人才培养等方面,如:
人力资源成本投入还应继续提高;
绩效评价指标难以提出来,做的不好,会被问要你何用,做不得不好也要被问要你何用;
车企消费者不足够重视,投入不够;
缺乏指导,实际落地经验不足;
既要做好设计,又要推动别人落地实施,跨部门沟通难……
行业层面
主要集中在行业现状、技术标准、网络安全工作成果的价值提供、如:
来自车厂的需求并不强烈;
车企现在ISO拿证发证非常频繁,质量到底如何,无从考证。无具体横向对比分层等数据信息,来具体描述行业现状;
工作成果被感知到,并且提供有效的价值;
企业竞争加剧,工作环境不稳;
让需求来自安全评估,而不是个别人的“担心被黑”……
② 法规与合规专家视角
经济下行带来的人员优化和安全风险日益增加;
对新法规的认识洞察力不够;
没有执行力度,我也很难推动安全工作或者获得预算;
缺乏复合性人才(同时了解车辆开发、车辆管理、质量体系、网络安全、数据安全)……
③ 产品经理/管理层视角
不好落地
多体系要求
法规落地方式不明确,(最低标准)及格线不明确
技术更新快、网络安全本身的特性带来的压力、成就感的缺乏……
3.2 约68%遭遇职业瓶颈,导致人员流失
在本次调研中,约67.9%的受访者表示存在职业瓶颈,此处选取部分具有代表性的反馈:
① 网络安全工程师
坑位少;
汽车网络安全相关从业者如果没有IT网络安全的各种资质证书来背书,只靠做过的相关项目,难得到IT行业的认可;
从主机厂到供应商,大家还是主要以合规为目的,而不是真正的考虑潜在的风险,并做出合理的缓解措施;
精力有限,提升的方向也有限,但是需要提升的点特别多;
适用性受限;
工作任务较多,技术沉淀较难;
缺乏软件开发能力,影响进一步提升;
安全是花钱专业,没有很明确的收益
② 法规与合规专家、产品经理/管理层、渗透测试工程师
人员发展和晋升缓慢,而且安全leader一般很难到核心管理层,导致天花板可见;
要做的事情越来越对,可投入的预算难以匹配;
偏向传统安全;
大环境在收缩;
行业投入力度小导致恶意低价竞争,导致人员流失,导致行业整体水平下降
此次从业者生存报告全方位多角度呈现了2024年产业状况、发展痛点及从业者的真实工作感受,不少数据和洞察值得我们深深思考。
尽管挑战重重,道路曲折,但我们庆幸经过多年的高速发展,中国汽车网络数据安全生态还在逐步扩大,依然充满着机遇。同时我们也非常期待产业链企业能协同共进,一起促进行业更加健康、可持续地发展,团结进取,构建中国汽车网安的铜墙铁壁!
再次感谢此次问卷报告的参与者们,谢谢你们的配合与无私奉献!谈思将继续和大家一道深耕汽车网安产业,持续为大家提供技术干货及行业洞见,一起赋能。
有效问卷原始数据表下载,请在谈思汽车公众号后台回复“2024生存现状”,获取下载方式。
- THE END -
专业社群
部分入群专家来自:
新势力车企:
特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车蔚来、吉祥汽车、赛力斯......
外资传统主流车企代表:
大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚......
内资传统主流车企:
吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用......
全球领先一级供应商:
博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、......
二级供应商(500+以上):
Upstream、ETAS、Synopsys、NXP、TUV、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、软安科技、浙江大学......
人员占比
公司类型占比
精品活动推荐
因文章部分文字及图片涉及到引用,如有侵权,请及时联系17316577586,我们将删除内容以保证您的权益。
