查看原文
其他

行业方案|智能网联汽车数据安全治理框架

近年来,信息技术的快速发展,加快了汽车产业的变革。与此同时,随着智能化、网联化的推进,汽车的数据安全问题也日益凸显。当下,如何保障数据安全,成为影响智能汽车产业健康发展的关键问题。




政策和监管力度加强 逐渐步入合规发展期

近两年,汽车数据安全成为业内关注热点,国家层面和行业层面都推出了相应的法律法规和行业标准。

国家层面出台了《国家安全法》《数据安全法》《密码法》等与数据安全直接相关的法规,从国家政策上对企业履行数据安全和个人隐私保护业务做出明确要求。聚焦到汽车行业,2021-2022年陆续发布了若干指导意见和标准规定,加强数据资产的分类分级管理,提升数据安全技术保障能力,逐渐建立汽车数据安全行业准入标准。

2021年10月,工信部联合网信、公安、交通联合下发《汽车数据安全管理若干规定》多省市网信办开展2021年度汽车数据安全管理情况收集工作,明确要加强汽车数据保护,依法履行数据安全义务。这是我国首个针对汽车行业数据保护的部门规章,对于汽车行业落地上位法律要求以及落实汽车数据针对性要求具有重要意义。
该《规定》重新定义了汽车数据、个人信息数据以及重要数据。明确指出汽车数据是在汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据;个人信息数据是以电子或其他方式记录的与已识别或可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息;而重要数据则是涉及到军事管理区的数据、车辆的流量数据和人脸数据等,绝大部分车企都是属于重要数据的处理者。在相关的管理规定中要加强重要数据安全保护,做好汽车数据安全管理和保障工作。 
除了相关制度的制定之外,还对车联网数据处理原则和个人信息数据保护做出了明确要求。通过工信部牵头发布的《YD/T 3751—2020 车联网信息服务 数据安全技术要求》专家观点 | 车联网数据安全的若干思考对车联网数据分类分级重新定义,划分为基础属性类数据、车辆工况类数据、环境感知类数据等6类。对于个人信息数据则划分为用户和自然人身份信息、用户资料信息、使用服务相关的信息、用户所拥有的车辆信息等共7大分类。监管加强,相关政策不断出台,一定程度上将推动智能汽车向更高阶演进。



数据安全事件频发 车企面临哪些现实问题

根据Upstream Security发布的《2022年全球汽车网络安全报告》,2021年全球公开报道的汽车网络攻击事件高达256件,较2018年增加了225%。在过去几年内,国内外很多汽车厂商都曝出数据泄露或丢失的新闻。 

汽车行业受到的网络攻击规模、频率和复杂程度呈指数级增长的同时,数据安全正成为影响消费者购车决策的重要因素,并成为车企智能化竞争的新“分水岭”。在整个汽车销售环节中,涉及到线下门店、车企APP、车主车辆三大场景,且每个不同场景会关联到各个类别的敏感数据和重要数据。错综复杂的数据消费关系,也会带来数据泄露和丢失的风险,加大数据安全保障难度。


目前汽车数据安全面临的现实问题,主要分为3个方向:

1. 确定有哪些数据资产?

即需清楚了解数据是如何分布以及有哪些数据资产暴露面。目前业界传统手段一般为数据资产管理、数据库漏扫、信息安全风险评估等,但上述方法存在一定的局限性,直接导致数据资产管理的深度及广度难以实现精细化覆盖、业务发布频繁,难以高效地掌握实时数据资产的变化情况、以及难以快速统计行业关注指标形成合规报告

2. 如何做好数据安全防护/管控?

业界常见的措施是通过数据库加密网关、数据库防火墙、数据库动态静态脱敏等,其面临的问题很明显,传统防护手段管控措施实施难度大,时间周期长,可能面临业务系统代码改造甚至架构变更;以及数据安全落地与应用耦合度较高,容易成为业务短板造成性能瓶颈,故障点增加影响业务系统的可用性。

3. 如何发现数据是否泄露?

应对这个问题,传统手段包括网络DLP、上网行为管理、数据库审计等,还有一些车企会搭建安全运营中心,在自有平台上构建数据安全模型,监测数据安全泄露的发生,但是传统的DLP只能够发现某一个用户访问某一个应用的某一个敏感数据,不会判断自己的访问行为是否合乎整个业务逻辑,容易造成误报警,缺乏精准度;二是缺乏主动的情报和感知能力,很多时候等到新闻已经报道出来或者黑客勒索,企业才发现数据泄露,从而直接导致修补措施面临手忙脚乱的情况。




解决方案 数据安全治理“三步走”

基于目前车企面临的现实问题,车企如何建设数据安全体系?腾讯安全提出了厘清资产、分级管控、持续运营“三步走”建设思路。


厘清资产,首先要做好数据的分类分级。数据分类分级有助于实现数据的确权以及管理成本的优化,实现最大化共享和利用数据,车企可参考行业标准并结合自身业务特点,落地数据资产的分类分级。其次是做好数据安全风险评估,在参照信息安全风险评估方法的基础上,关注数据资产,以及在相关数据处理活动中所面临的技术及合规风险情况,并针对每项风险制定风险处置计划,推动业务相关部门整改需求。

分级管控,坚持“一般数据效率优先,敏感/重要数据安全优先”的原则,对数据资产实施分级安全管控。落地过程中应在保障合规的同时,尽可能地减少对应用的改造及入侵,实现安全与业务的平衡。同时在车端数据方面,可采用更轻量化、高效、合规的方式进行加密后存储和传输,形成相关敏感和重要数据的保护。

持续运营,从技术的维度,借助前沿技术提升数据安全运营的能力。一是建立多维安全感知能力,实现更全面、更快速的情报监测能力,打造更智能、更精准的监测预警模型。二是加强能力沉淀及自主运营能力,构建三线数据安全运营支撑体系,聚焦数据安全各核心场景的能力沉淀及能力标准化,形成适用于自身的自主运营体系。

来源:腾讯安全;版权归属原作者,分享仅供学习参考,如有不当,请联系我们处理。


END
往期推荐01注意 ! 5月1日起,这几项网络安全标准/办法/指南开始实施!02专家观点 | 探析人工智能对网络安全的真正潜在影响03凭AI网络安全创新方案,HiddenLayer 获得本届RSAC创新沙盒竞赛冠军!

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存