Investigación sobre la seguridad de los datos de los coches inteligentes conectados: centrándose en cuestiones de flujo de datos transfronterizos.
La siguiente es una transcripción del discurso:
Buenas tardes, Huang Peng, ingeniero jefe adjunto del Centro Nacional de Investigación para el Desarrollo de la Seguridad de la Información Industrial y director del Instituto de Investigación de Políticas de Información. En nombre del centro, me gustaría informarles sobre los últimos resultados de la investigación de nuestro equipo: investigación sobre la seguridad de los datos de los vehículos inteligentes conectados. Esta investigación es relativamente preliminar y esperamos recibir orientación de líderes y expertos en el futuro. Hoy informamos principalmente sobre cinco aspectos. En primer lugar, la connotación y el estado de desarrollo de los coches inteligentes conectados; en segundo lugar, la tendencia de desarrollo de la seguridad de los datos de los coches inteligentes conectados; en tercer lugar, la comprensión de las empresas de automóviles sobre la seguridad de los datos de los coches inteligentes conectados se está profundizando; cuarto, las empresas de seguridad de redes están desempeñando un papel importante; En quinto lugar, el gobierno coordina activamente el desarrollo de la industria de los automóviles conectados inteligentes y la protección de la seguridad de los datos.
1. La connotación y el estado de desarrollo de los automóviles inteligentes conectados
Como nuevo campo y escenario importante, el desarrollo de los automóviles inteligentes conectados es imparable desde los principales países y organizaciones industriales. Sistemas y productos para Se han realizado algunos diseños importantes para automóviles conectados inteligentes desde la perspectiva de, equipos y redes.
Se cree que los coches inteligentes conectados son diferentes de los equipos automotrices tradicionales y tienen al menos cuatro características importantes.
La primera es la interconexión, que es una característica básica.
La segunda es la definición del software. El desarrollo desde el accionamiento mecánico inicial hasta el futuro accionamiento de datos es una característica muy importante. Hace unos años, Volkswagen anunció una inversión de 3.500 millones de euros para construir su propio sistema operativo para automóviles. El coste del software de Tesla representa el 40% del coste total del vehículo y la serie S tiene más de 400 millones de líneas de código. Muchas empresas han hablado de crear sus propias empresas de tecnología de software y desarrollar sus propios sistemas operativos y aplicaciones para adaptarse a la ola de automóviles definidos por software. Al menos el 60% del valor de los futuros coches inteligentes conectados procederá del software, por lo que los futuros coches inteligentes conectados serán nuevos terminales de tecnología de la información.
El tercero es la conducción sin conductor. Hace un momento, el profesor Zhu explicó en profundidad las aplicaciones y los riesgos de la conducción autónoma en diferentes niveles y en diferentes escenarios.
El cuarto es verde y bajo en carbono. En el futuro, los vehículos inteligentes conectados serán principalmente vehículos eléctricos, que son muy adecuados o adaptables a los requisitos y diseños del país relacionados con el “carbono dual”.
Además, también realizamos un análisis preliminar de la cadena de la industria del automóvil inteligente conectado, desde las piezas y el software ascendentes hasta el contenido, las plataformas, los datos y los proveedores de servicios correspondientes descendentes para viajes, seguros y arrendamiento, en todos los aspectos. Como el mantenimiento, toda la cadena industrial también ha ido evolucionando. China ha hecho acuerdos en todos los aspectos de la cadena industrial, pero los componentes centrales del sistema aún dependen más de las importaciones. Recientemente, se han logrado algunos avances en la investigación y el desarrollo de tecnología, pero todavía existe una cierta brecha entre la producción en masa orientada al mercado.
2. Tendencia de desarrollo de la seguridad de los datos de los vehículos inteligentes conectados
La característica principal de los vehículos inteligentes conectados es que los datos se han convertido en un punto de valor importante que impulsa el desarrollo de los vehículos. Esta tendencia de desarrollo plantea nuevos requisitos y riesgos para la seguridad de los vehículos y los datos. Requiere que la seguridad de los coches conectados inteligentes se considere desde la perspectiva del ciclo de vida completo del vehículo, por un lado, y del ciclo de vida completo del mismo. datos por el otro.
Basándonos en estas dos dimensiones, descubrimos que los riesgos de seguridad de los datos que traerán los futuros automóviles conectados inteligentes siguen siendo muy grandes y prominentes, e involucran al menos cuatro aspectos:
Primero, la industria Es necesario mejorar la concienciación sobre la seguridad de los datos. La reciente aparición de una serie de incidentes correspondientes afectará, hasta cierto punto, a la confianza de los consumidores en la seguridad de los coches inteligentes conectados.
En segundo lugar, el riesgo de fuga de datos es enorme y amenaza la privacidad personal. Debido a que los automóviles inteligentes conectados recopilarán la información correspondiente para realizar mejor la conducción autónoma o brindar a los conductores una mejor experiencia, aprendimos que un automóvil inteligente conectado debe recopilar al menos 10 TB de datos todos los días, lo que no solo es enorme. , pero también involucra las trayectorias de viaje, hábitos, voz, video, etc. de conductores y pasajeros.
Una vez violada, se filtrará la privacidad personal.
En tercer lugar, existen muchas lagunas de seguridad en la red que amenazan la seguridad de las personas y la propiedad. En 2020, habrá más de 2,8 millones de ataques maliciosos en todo el mundo. Los piratas informáticos pueden controlar la conducción de vehículos mediante ataques a la red y también pueden utilizar vulnerabilidades de software para controlar automóviles inteligentes conectados, por lo que las amenazas y riesgos también son muy altos.
En cuarto lugar, puede amenazar la seguridad nacional. Para lograr una mejor interacción de los vehículos y las carreteras con la infraestructura circundante, los automóviles conectados inteligentes también recopilarán datos de escenas circundantes e información geográfica importante. Si la precisión alcanza un cierto nivel, afectará o amenazará la seguridad nacional.
Hemos visto que algunos países, especialmente los desarrollados, y organizaciones industriales también han introducido regulaciones y medidas de gestión. Estados Unidos, la Unión Europea y la Asociación Internacional de Fabricantes de Automóviles han adoptado algunas regulaciones estratégicas y de principios, incluidas algunas pautas operativas y detalladas.
Los diferentes fabricantes de automóviles inteligentes conectados tienen diferentes comprensiones o capacidades de protección de la seguridad de los datos debido a diferentes genes. Creemos que los fabricantes de automóviles inteligentes conectados más importantes actualmente provienen de tres tipos de empresas:
El primer tipo son las empresas de automóviles tradicionales con un modelo de desarrollo progresivo, que incluye automóviles de marcas nacionales propias y automóviles de marcas de empresas conjuntas. . Estas empresas automotrices tradicionales están promoviendo el desarrollo, la aplicación y la transformación digital de nuevas tecnologías relevantes, pero en general su conocimiento y capacidades aún están en proceso de desarrollo.
La segunda categoría son las empresas de tecnología de la información, como Baidu, Alibaba, Tencent, Huawei, Didi, Xiaomi y otras empresas de tecnología de la información. Basándose en sus sólidas capacidades y ecosistemas en el campo de la tecnología de la información, estas empresas han promovido vigorosamente los sistemas técnicos correspondientes y los sistemas de conducción autónoma, dando un salto hacia la industria del automóvil inteligente conectado.
La tercera categoría son las nuevas fuerzas de fabricación de automóviles. Ideal, Futuro, Xiaopeng, etc. Todos son relativamente radicales en su proceso de desarrollo y sus consideraciones y diseños para la seguridad de los datos también tienen sus propias características.
Guidehouse, una organización consultora de renombre mundial, analizó el panorama competitivo existente en el campo de los coches inteligentes conectados y descubrió que cuatro de los líderes actuales son básicamente empresas de tecnologías de la información. En esta etapa, las empresas con experiencia en tecnología de la información tienen ciertas ventajas al ingresar a la industria del automóvil inteligente conectado.
Lo que es muy interesante es que sabemos que Tesla figura como "seguidor" en Guidehouse, principalmente porque la agencia cree que las capacidades de conducción autónoma y de seguridad de Tesla no son tan buenas como su propaganda.
Estos tres tipos diferentes de fabricantes de automóviles inteligentes conectados todavía tienen ciertas diferencias en su comprensión y capacidades de protección de la seguridad de los datos, especialmente en el diseño de las capacidades correspondientes, incluidos los ajustes a las estructuras organizativas y la adaptación a los nuevos requisitos de seguridad. . Sin embargo, descubrimos que estos tres tipos de empresas también se están integrando a través de fronteras y aprendiendo unas de otras.
En tercer lugar, las empresas automotrices están profundizando su comprensión de la seguridad de los datos de los automóviles.
Encuestamos a algunas empresas automotrices y resumimos su comprensión actual y sus medidas de seguridad de datos. Las empresas automovilísticas prestan cada vez más atención a las cuestiones de seguridad de los datos. Las principales empresas nacionales tienen la intención de mejorar significativamente su capacidad para garantizar la seguridad de los datos mediante el fortalecimiento de los medios técnicos y los mecanismos de gestión.
Pero, de hecho, los riesgos también son muy importantes: en primer lugar, es necesario mejorar aún más la capacidad de control independiente de los dispositivos centrales, como sensores, chips, antenas de radar, etc. , también pertenece al campo del "cuello atascado" de los coches inteligentes conectados. El segundo es la falta de responsabilidad de la gestión corporativa. Muchas empresas automotrices a menudo llevan a cabo algunos trabajos de gestión de datos en un estado de "caja negra", lo que dificulta y queda atrás los mecanismos de protección y las medidas de gestión existentes. En tercer lugar, hay pocos casos reales de implementación y falta de orientación específica y orientación práctica. Muchas empresas se desvían de los límites, el coste de la exploración también es elevado y hay muchas áreas que necesitan mayor aclaración.
Desde la perspectiva de las sugerencias, recomendamos que las empresas de automóviles mejoren sus capacidades de seguridad de datos desde dos perspectivas. El primero es mejorar la seguridad y la controlabilidad de las tecnologías básicas básicas, lo que implica la seguridad intrínseca de los vehículos. El segundo es mejorar las capacidades de protección integral de la seguridad de los datos y adoptar tecnología de la información de nueva generación, incluida la tecnología blockchain, la tecnología de detección de tráfico, la tecnología de secretos de estado, etc. , mejorar las capacidades de protección integral.
4. Las empresas de seguridad de redes tienen un gran potencial en el mercado de seguridad de datos de automóviles inteligentes conectados.
Las principales empresas nacionales de seguridad de redes están trazando activamente nuevas vías para los automóviles inteligentes conectados, la mayoría de las cuales lo son. Sus productos tradicionales se adaptarán y optimizarán en función de los nuevos escenarios de los automóviles conectados inteligentes, incluido el nivel de datos, desde la nube, la gestión, la terminal y otras perspectivas. También se han propuesto algunos productos de seguridad de red correspondientes en términos de detección y servicios.
Investigamos Tianrongxin, un fabricante nacional de seguridad, y hemos desarrollado una gama completa de herramientas y servicios de pruebas de penetración que cubren puertas de enlace de vehículos, ECU, T-BOX, nube y aplicaciones. El siguiente caso proviene de Baidu, cuya arquitectura de seguridad de conducción autónoma ha cubierto todo el ciclo de vida de la seguridad de los datos.
Se puede decir que el campo de los automóviles inteligentes conectados es un mercado enorme para la industria de la seguridad de redes o las empresas de seguridad de redes, pero también existen muchos desafíos. En primer lugar, los productos y soluciones de seguridad de red existentes no pueden satisfacer las necesidades de seguridad de los vehículos inteligentes conectados. En segundo lugar, los caminos hacia las soluciones de seguridad varían. Algunas empresas de ciberseguridad se centran en la seguridad de los vehículos, mientras que otras se centran en la seguridad de la nube. Si bien ninguna de estas soluciones es mejor, es necesario que aprendan unas de otras. En tercer lugar, todavía existen cuestiones como el costo y la conciencia en la aplicación de productos de seguridad. También hicimos dos sugerencias. En primer lugar, se recomienda que estas empresas de seguridad de redes desarrollen productos y soluciones relacionados específicos para diferentes escenarios de automóviles inteligentes conectados y aumenten sus esfuerzos de promoción. El segundo es explorar soluciones de seguros de seguridad de red adecuadas para escenarios de automóviles conectados inteligentes. Los seguros son muy comunes en el campo del automóvil, pero el seguro de seguridad de datos o el seguro de seguridad de red pueden proporcionar protección integrada para las empresas de automóviles, los usuarios y muchas empresas de servicios de tecnología de la información en la cadena industrial.
Verbo (abreviatura de verbo) El gobierno coordina activamente el desarrollo de la industria del automóvil inteligente conectado y la protección de la seguridad de los datos.
En primer lugar, a nivel de planificación de políticas, el gobierno ha emitido directrices estándar relevantes, incluidos algunos documentos de políticas, para fortalecer la gestión y el control de todo el ciclo de vida de los datos y enfatizar la clasificación y calificación de los datos. .
En segundo lugar, a nivel de leyes y reglamentos, la Ley de Ciberseguridad, la Ley de Seguridad de Datos, la Ley de Protección de Información Personal (proyecto) y el Reglamento de Gestión de Seguridad de Datos de Automóviles (proyecto para comentarios) emitidos por la Administración del Ciberespacio. de China ya han reflexionado. El gobierno ha hecho algunas consideraciones específicas. Apoyamos a la Administración del Ciberespacio de China y al Ministerio de Industria y Tecnología de la Información para emitir regulaciones y pautas de gestión más detalladas, y brindar orientación y orientación desde el nivel legal y regulatorio, para guiar mejor las prácticas de toda la industria.
En tercer lugar, el sistema de normas mejora constantemente, incluidas normas sistémicas de alto nivel y normas especiales, que se introducen, revisan y mejoran continuamente.
En cuarto lugar está la aceleración de aplicaciones piloto, como el piloto de datos transfronterizos de la Nueva Área Lingang de Shanghai, y también están en progreso algunos pilotos relacionados con pruebas en carretera, evaluación de riesgos y gestión y control de riesgos. Los coches inteligentes conectados en sí mismos son algo nuevo e implican un sistema muy complejo. De hecho, es necesario que el gobierno lleve a cabo un trabajo piloto de demostración, resuma algunas prácticas excelentes y realice una promoción posterior.
Por supuesto, desde la perspectiva del gobierno que promueve el desarrollo industrial y garantiza la seguridad de los datos, también enfrenta importantes desafíos. En primer lugar, todo el sistema legal y el sistema de normas todavía están por detrás de la velocidad de desarrollo de la industria. En segundo lugar, está el problema de la supervisión multipartita, y algunos requisitos de gestión de la industria deben perfeccionarse lo antes posible. Desde la perspectiva de la supervisión de la seguridad de los datos, el Ministerio de Asuntos del Ciberespacio es el departamento líder, pero cuando se trata de la promulgación de reglas industriales específicas, las autoridades industriales y algunas asociaciones industriales importantes deben promover el trabajo relacionado. En tercer lugar, las medidas prácticas no son suficientes. Una de las tareas básicas de la supervisión y gobernanza de la seguridad de los datos es clasificar y clasificar datos. En el caso de los datos, es necesario gestionarlos, pero no se puede controlarlos demasiado. Lo que debe gestionarse, lo que necesita una fuerte supervisión y lo que debe fluir en el mercado, una tarea muy básica es la clasificación y clasificación de datos.
Nuestras sugerencias incluyen cuatro aspectos: En primer lugar, coordinar la innovación y el desarrollo industrial para garantizar la seguridad de los datos. El segundo es emitir directrices y reglas de gestión para la clasificación y clasificación de datos lo antes posible. Algunas industrias nacionales importantes, como las finanzas, Internet industrial, etc., han emitido las correspondientes directrices de clasificación y calificación, que pueden utilizarse como referencia para la industria del automóvil inteligente conectado. El tercero es establecer una evaluación de riesgos previa al evento y un mecanismo de respuesta de emergencia posterior al evento. Por ejemplo, las agencias nacionales especializadas podrían explorar cómo proporcionar mejores servicios y apoyo.
Cuarto, prestar atención a los flujos de datos transfronterizos. En la actualidad, nuestro país concede gran importancia a este tema y el departamento nacional de ciberseguridad e informatización también está realizando intensas investigaciones. Se espera que, mientras se aprende de las prácticas globales comunes, se perfeccionen las reglas de flujo de datos correspondientes.
Lo anterior es el contenido principal de nuestro informe en este número. En el proceso de redacción del informe, también recibimos el apoyo de algunas empresas automovilísticas y de ciberseguridad. Después de eso, también esperamos cooperar con las empresas y expertos aquí para permitirnos hacer más en el campo de la seguridad de los datos de los automóviles inteligentes conectados.