丰田/大众/通用为什么干不过黑客，“防火墙”吃干饭的吗？

数据正在成为影响智能网联汽车发展的关键因素，以至于在一些业内人士看来，“数据已经成为一种新型燃料，具有很高的发展价值，就像锂矿一样。据IHS Markit统计，根据目前智能网联汽车在全球年度新车出货量中的增长率，预计到2025年，智能网联车辆在全球市场的渗透率将达到60%，中国市场将超过75%。因此，由于预期的良好前景，一些车企将数据视为一个重点，不仅可以提高与终端用户的互动水平，还可以创新汽车智能技术，加快数据处理和应用潜力的研究，并深入挖掘其中包含的商业价值。然而，随着数据的商业价值在智能汽车生态系统中逐渐显现，相关数据也引起了非法团伙的注意。近年来，针对汽车公司和相关供应链制造商的网络攻击越来越频繁，导致一些公司和用户的数据丢失、泄露和非法窃取。新年伊始，丰田印度公司报告其子公司丰田Kilosca Motors的数据泄露，一些客户信息已在互联网上曝光。尽管丰田印度没有透露此次事件中泄露的数据规模和受影响的客户数量，但根据其公开声明，该公司是在收到服务提供商的通知后才得知泄露问题的，表明其尚未建立有效的信息安全管理机制。对此，丰田印度公司表示，将加强其子公司与其服务提供商之间的合作，遵循现有准则加强管理程序，并努力消除事件造成的任何潜在客户困扰。这并不是丰田最近遭遇的唯一一次数据泄露事件。2022年10月，丰田的远程车内信息通信服务T-Connect出现漏洞，导致约29.6万条与客户电子邮件和客户号码有关的数据信息泄露。据悉，T-Connect服务包括远程启动、车内Wi-Fi设置、检查汽车状态等功能，用户可以通过附带的应用程序在手机上控制车辆。然而，由于其需要绑定到车辆的特殊性，这意味着该服务与姓名、电话号码、信用卡等个人敏感信息相关联。丰田立即警告用户注意其电子邮件接收垃圾邮件和钓鱼电子邮件的风险。随后对该事件的调查显示，该漏洞源于2017年底T-Connect网站开发承包商的误操作。当时，开发人员将一些网站公共配置文件中的信息上传到开源代码平台，并错误地将权限设置为“公共”，允许第三方使用配置文件中信息入侵系统。丰田表示，这起事件主要影响自2017年7月以来使用其电子邮件地址在服务网站上注册的个人客户群，目前尚未收到任何客户信息被滥用的报告。然而，由于无法确认是否有第三方访问了客户信息，此次事件仍存在一定的安全风险。

在汽车行业所有造成用户信息泄露的事件中，丰田近30万的数据信息泄露甚至不是最“严重”的后果。与大众汽车集团330万客户信息泄露的事故相比，影响确实有限。2021 6月，大众汽车集团表示，由于供应商在2019年8月至2021 5月期间在互联网上“无保护”地保留客户数据，包括相关客户和潜在买家的姓名、地址和电话号码在内的个人信息被泄露，供应服务涉及大众汽车和奥迪在北美的官方经销商系统，因此，大约90000条与贷款资格和社会保障号码有关的个人隐私信息同时被披露。事实上，针对制造业企业的网络攻击频率正在逐年增加。根据IBM安全情报部门的一份报告，早在2021，制造业就出现了盈余……

打击了金融和保险行业，成为受网络犯罪团伙攻击最严重的行业。在汽车领域，智能网联技术应用的加速投入和信息安全管理的有限提升之间的不均衡发展，使得以车企客户信息为代表的数据成为网络攻击和盗窃的“突破口”。除了前面提到的丰田和大众，通用汽车还受到传统汽车巨头大规模用户信息泄露的困扰。2022年5月，通用汽车公司在一些在线客户账户中发现了可疑登录，并在未经用户授权的情况下用奖励、积分和其他福利换取礼品卡。尽管这一功能立即被通用方禁用，但入侵者仍然通过APP程序获得了与个人隐私相关的账户绑定信息。此外，奥迪、梅赛德斯-奔驰、NIO和其他公司最近报告称遭遇了类似的网络攻击，被盗数据也集中在用户和销售信息上。黑客通过未经授权访问这些“低保护”的高价值数据，通过勒索、公开销售和其他手段非法获利。2022年底，黑客根据从NIO窃取的基本用户信息和车辆销售信息等内部数据，勒索了225万美元的比特币等价物。去年11月，勒索软件组织LockBit对大陆集团发动了网络攻击，窃取了约40TB的海量数据。据德国《商报》报道，黑客在黑暗的互联网上发布了一份数据清单，其中包括预算、投资和战略计划等重要文件，以及与大陆集团一些客户有关的信息。随后，以大陆集团“显然不想支付赎金”为由，黑客以5000万美元的价格公开出售了这些数据。在汽车公司和相关供应链制造商受到越来越多的网络攻击的背后，由于智能网联汽车系统对车辆数据信息的需求突然增加，无疑有一个客观因素加剧了当前车辆用户的数据泄露风险。以汽车计算机系统日益丰富的功能为例，随着汽车计算机功能便利性技术指标的提高，用户操作汽车应用程序的流程与移动设备的流程几乎一致。这意味着用户需要与车辆共享更多的个人信息，包括生物特征、网络浏览记录、消费以及视频和音频采集等一系列数据，以评估应用程序Collect数据在订阅反馈和其他方面的使用情况。另一方面，在车辆运行过程中，毫米波雷达、摄像头、车辆以太网等传感硬件以及相应的网络系统不断生成和收集与道路信息和驾驶行为相关的数据，并对这些系统进行监控。因此，应用程序边界不明确的大规模数据收集确实可能会带来从其他用户或实体过度收集信息的风险，例如“车辆互联”和“哨兵模式”类似功能，这些功能因监管问题已对一些车型关闭。同时，从车企的智能化发展过程来看，目前有相当一部分公司采用外包的方式开发智能网联软件系统，而这些软件系统往往不包含在车企的信息安全体系中。这里值得一提的是，由于汽车软件系统的需求越来越复杂，单个系统的外包开发可能同时有多个供应商。通常，汽车公司要求以协作方式工作的供应商在开发完成后将其负责的部件上传到特定的帐户地址，然后集成不同的软件部件。然而，在上传过程中很难确保工作程序在安全流程内，例如前面提到的大众集团供应商遇到的权限设置不正确等安全风险。此外，从盗贼入侵和获利的容易程度来看，包含用户隐私的数据信息往往以非法方式具有很高的价值。尤其是车企往往将大量数据聚合到某个后端信息数据库中，在遭到攻击和窃取后，容易引发单一的大规模泄漏事件。

……

因此，对于与智能网联汽车发展密切相关的大规模数据，仅靠车企所具备的信息安全能力来应对无休止的网络攻击在短期内仍存在重大挑战。然而，数据采集和信息安全发展不均衡的现状也在推动新的产业生态系统的兴起，比如数据脱敏服务。2022年11月，数据技术公司Privacy4Cars宣布，它已获得美国专利商标局的一项新专利，通过使用手机等终端设备删除车辆上的私人信息。据报道，Privacy4Cars提供的数据工具目前可以管理和跟踪个人数据的删除，包括电话号码、通话记录、短信、位置历史记录和其他信息。该公司表示，这套工具可以作为消费者的免费下载应用程序，并将为企业提供订阅服务。汽车企业可以使用Privacy4Cars的独立应用程序，也可以选择集成软件开发工具包，以便于将数据删除解决方案嵌入现有应用程序。防火墙的建设仍在继续。目前，在中国，智能网联汽车行业发展面临的隐私数据处理问题正在从信息收集标准化和数据安全保护的角度得到解决。在立法层面、准入试点和行业标准推广等方面，正在建立相应的“防火墙”制度。首先，为了加强对个人信息和重要数据的保护，规范汽车数据处理活动，国家互联网信息办公室和有关部门发布了《汽车数据安全管理若干规定》，对个人信息或重要数据的处理提出了明确要求，并规定运营商每次收集敏感信息时必须获得驾驶员的授权。工信部还在现有国家汽车互联网行业标准体系的基础上，组织编制发布了《汽车互联网网络安全与数据安全标准体系建设指南》，指导相关标准的制定。同时，工信部还在《智能网联汽车接入试点公开征求意见》附件中提出了试点过程中生产企业数据安全保障能力的考核要求。其内容包括企业需要采用数据加密、脱敏、可追溯和审计等技术，以确保数据活动的合规性和安全性。从技术实施到实施，定期进行数据安全风险评估，并制定相应的应急措施。将于2023年5月1日起实施的推荐标准GB/T41871-2022《信息安全技术——汽车数据处理的安全要求》进一步细化了《汽车数据条例》的规定。它从汽车数据处理活动的一般安全、外部数据安全、驾驶舱数据安全和管理安全四个方面对汽车数据处理器提出了要求，还规定了不适用于本标准的特殊汽车数据处理行为。该标准为汽车数据处理者提供了相对详细的指导，要求他们在现有法律框架内，基于不同场景对汽车数据处理过程和范围进行解构和分析，并及时调整相应的合规制度和措施。除了发布上述法律法规和推荐标准外，相关行业组织还根据《汽车数据条例》章程制定了数据安全行为规范和团体标准，加强行业自律，引导会员加强数据安全保护，提高了数据安全保护水平，促进了行业的健康发展。目前，中国汽车工业协会已经起草了行业数据安全行为准则草案，未来将征求行业企业更广泛的意见，形成行业公约在行业内发布。在团体标准方面，2022年8月，《脱硅技术要求和方法……》……

汽车变速器视频和图像的数字化“集团标准发布，为行业企业开发和验证汽车变速器视频和图像中的面部和车牌数据的匿名化处理提供了指导和建议。此外，依托上海汽车检测，在此基础上进行了一系列企业车载数据匿名化系统测试ard。通过数据收集和真实注释进行匿名性能比较，评估标准中与数据安全相关的指标，并提供相应的测试报告。

标签：丰田大众奥迪蔚来远程

汽车资讯热门资讯