近年来,信息技术的疾速倒退,放慢了汽车产业的改革。与此同时,随着智能化、网联化的推动,汽车的数据安全问题也日益凸显。当下,如何保障数据安全,成为影响智能汽车产业衰弱倒退的关键问题。
4 月 18 日,腾讯平安联结腾讯智慧出行、腾讯产业互联网学堂举办了《连贯人、车、路,智能汽车如何保障数据安全》主题公开课,腾讯数据安全架构师廖栩磊分享了车企数据安全解决方案,围绕行业政策解读、车企数据安全痛点分析、平安能力构建思路等方面进行了逐层分析。
一、政策和监管力度增强 逐步步入合规发展期
近两年,汽车数据安全成为业内关注热点,国家层面和行业层面都推出了相应的法律法规和行业标准。
国家层面出台了《国家安全法》《数据安全法》《明码法》等与数据安全间接相干的法规,从国家政策上对企业履行数据安全和个人隐私爱护业务做出明确要求。聚焦到汽车行业,2021-2022 年陆续公布了若干领导意见和标准规定,增强数据资产的分类分级管理,晋升数据安全技术保障能力,逐步建设汽车数据安全行业准入规范。
2021 年 10 月,工信部联结网信、公安、交通联结下发《汽车数据安全治理若干规定》,明确要增强汽车数据保护,依法履行数据安全任务。这是我国首个针对汽车行业数据保护的部门规章,对于汽车行业落地上位法律要求以及落实汽车数据针对性要求具备重要意义。
该《规定》从新定义了汽车数据、个人信息数据以及重要数据。明确指出汽车数据是在汽车设计、生产、销售、应用、运维等过程中的波及个人信息数据和重要数据;个人信息数据是以电子或其余形式记录的与已辨认或可辨认的车主、驾驶人、乘车人、车外人员等无关的各种信息,不包含匿名化解决后的信息;而重要数据则是波及到军事管理区的数据、车辆的流量数据和人脸数据等,绝大部分车企都是属于重要数据的解决者。在相干的治理规定中要增强重要数据安全爱护,做好汽车数据安全治理和保障工作。
除了相干制度的制订之外,还对车联网数据处理准则和个人信息数据保护做出了明确要求。通过工信部牵头公布的《YD/T 3751—2020 车联网信息服务 数据安全技术要求》对车联网数据分类分级从新定义,划分为根底属性类数据、车辆工况类数据、环境感知类数据等 6 类。对于个人信息数据则划分为用户和自然人身份信息、用户材料信息、应用服务相干的信息、用户所领有的车辆信息等共 7 大分类。监管增强,相干政策一直出台,肯定水平上将推动智能汽车向更高阶演进。
二、数据安全事件频发车企面临哪些事实问题
依据 Upstream Security 公布的《2022 年寰球汽车网络安全报告》,2021 年寰球公开报道的汽车网络攻击事件高达 256 件,较 2018 年减少了 225%。在过来几年内,国内外很多汽车厂商都曝出数据泄露或失落的新闻。
汽车行业受到的网络攻击规模、频率和复杂程度呈指数级增长的同时,数据安全正成为影响消费者购车决策的重要因素,并成为车企智能化竞争的新“分水岭”。在整个汽车销售环节中,波及到 线下门店、车企 APP、车主车辆 三大场景,且每个不同场景会关联到各个类别的敏感数据和重要数据。盘根错节的数据生产关系,也会带来数据泄露和失落的危险,加大数据安全保障难度。
基于腾讯平安过往服务客户的教训,目前汽车数据安全面临的事实问题,次要分为 3 个方向:
1. 确定有哪些数据资产?
即需分明理解数据是如何散布以及有哪些数据资产裸露面。目前业界传统伎俩个别为数据资产治理、数据库漏扫、信息安全危险评估等,但上述办法存在肯定的局限性,间接导致数据资产治理的深度及广度难以实现精细化笼罩、业务公布频繁,难以高效地把握实时数据资产的变动状况、以及难以疾速统计行业关注指标造成合规报告。
2. 如何做好数据安全防护 / 管控?
业界常见的措施是通过数据库加密网关、数据库防火墙、数据库动静动态脱敏等,其面临的问题很显著,传统防护伎俩管控措施施行难度大,工夫周期长,可能面临业务零碎代码革新甚至架构变更;以及数据安全落地与利用耦合度较高,容易成为业务短板造成性能瓶颈,故障点减少影响业务零碎的可用性。
3. 如何发现数据是否泄露?
应答这个问题,传统伎俩包含网络 DLP、上网行为治理、数据库审计等,还有一些车企会搭建平安经营核心,在自有平台上构建数据安全模型,监测数据平安泄露的产生,然而传统的 DLP 只可能发现某一个用户拜访某一个利用的某一个敏感数据,不会判断本人的拜访行为是否合乎整个业务逻辑,容易造成误报警,不足精准度;二是不足被动的情报和感知能力,很多时候等到新闻曾经报道进去或者黑客勒索,企业才发现数据泄露,从而间接导致修补措施面临慌手慌脚的状况。
三、解决方案:数据安全治理“三步走”
基于目前车企面临的事实问题,车企如何建设数据安全体系?腾讯平安提出了厘清资产、分级管控、继续经营“三步走”建设思路。
厘清资产,首先要做好数据的分类分级。数据分类分级有助于实现数据确实权以及治理老本的优化,实现最大化共享和利用数据,车企可参考行业标准并联合本身业务特点,落地数据资产的分类分级。其次是做好数据安全危险评估,在参照信息安全危险评估办法的根底上,关注数据资产,以及在相干数据处理流动中所面临的技术及合规危险状况,并针对每项危险制订危险处理打算,推动业务相干部门整改需要。
分级管控,保持“个别数据效率优先,敏感 / 重要数据安全优先”的准则,对数据资产施行分级平安管控。落地过程中应在保障合规的同时,尽可能地缩小对利用的革新及入侵,实现平安与业务的均衡。同时在车端数据方面,可采纳更轻量化、高效、合规的形式进行加密后存储和传输,造成相干敏感和重要数据的爱护。
继续经营,从技术的维度,借助前沿技术晋升数据安全经营的能力。一是建设多维平安感知能力,实现更全面、更疾速的情报监测能力,打造更智能、更精准的监测预警模型。二是增强能力积淀及自主经营能力,构建三线数据安全经营支撑体系,聚焦数据安全各外围场景的能力积淀及能力标准化,造成实用于本身的自主经营体系。
四、外围产品
在车企数据安全能力思路之下,通过哪些产品和技术手段保障数据安全治理的落地?腾讯平安推出了数据安全核心 DSGC、云拜访平安代理 CSAB 两大外围产品。
通过对数据分类分级、数据安全危险评估的教训的积淀和能力的标准化,腾讯平安推出 数据安全核心 DSGC。DSGC 可能以自动化的形式实现数据的资产梳理、分类分级以及平安能力协同,并协同腾讯云各平安能力,造成闭合的数据安全防护网,帮忙企业最大化晋升平安效益。以 DSGC 为数据安全经营抓手,围绕外围数据资产(重要数据、敏感数据),联合威逼情报、AI 等技术,构建多维度的数据安全事件监测能力,升高 MTTD、MTTR。
云拜访平安代理 CASB,通过对数据库拜访申请的代理,实现 SQL 协定解析和辨认用户身份,对入库数据加密,对出库数据解密、动静脱敏,为数据拜访层加强平安模块,实现免开发革新利用的数据加密策略麻利施行,无效爱护重要数据资产平安。相比传统加密计划解决方案建设周期长、须要入侵业务、计划沉重、建设老本低等典型问题,CASB 以轻量、免革新、高性能的形式,应用先进明码技术爱护车企的外围数据,收敛由敏感数据泄露带来的企业业务经营危险以及数据合规问题。
在平安能力与外围产品的加持下,腾讯平安基于场景维度和事件维度剖析数据安全事件的危险或防护监测,在危险可控的前提下,保障客户数据失去开发利用。
目前,腾讯平安曾经累计为包含数字政务、批发、汽车、金融等行业企业客户提供稳固牢靠的数据安全产品和服务。