正式明确汽车网络安全要求,四部门调整新能源汽车推广应用财政补贴政策
1月,财政部、工业和信息化部、科技部、发展改革委近日联合印发《关于2022年新能源汽车推广应用财政补贴政策的通知》,明确2022年新能源汽车补贴标准在2021年基础上退坡30%;城市公交、道路客运、出租(含网约车)、环卫、城市物流配送、邮政快递、民航机场以及党政机关公务领域符合要求的车辆,补贴标准在2021年基础上退坡20%。2022年新能源汽车购置补贴政策于2022年12月31日终止,2022年12月31日之后上牌的车辆不再给予补贴。工业和信息化部联合相关部门建立跨部门信息共享机制,定期汇总起火及重大事故信息,加快建立车辆事故报告制度,对于隐瞒事故信息、不配合调查的,视情节轻重暂停或取消涉事车型补贴资格。
工信部正式印发中国汽车网络安全和数据安全标准体系建设指南
2月,工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》,提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。
遭网络攻击,丰田宣布日本所有工厂停工一天
3月1日,日本丰田汽车公司因零部件供应商受到“勒索软件”攻击,公布停止日本国内14家工厂、28条生产线的运转,能否在3月2日恢复正常运行,丰田方面表示仍在研究中。本次遭受网络攻击的供应商是为丰田提供重要零配件的小岛工业(Kojima Industries)。小岛工业的零配件是汽车生产中的关键环节。停产导致供应链中断,仅周二一天将影响约 1.3 万辆汽车的生产,大约占丰田在日本月产量的 4% 至 5%。
本田汽车曝重放攻击漏洞,可让黑客击解锁并启动汽车
3月,研究人员披露了一个影响部分本田和讴歌车型的“重放攻击”漏洞,该漏洞允许附近的黑客解锁用户的汽车,甚至可以在很短的距离内启动它的引擎。攻击包括威胁行为者捕获从用户的遥控钥匙发送到汽车的射频信号,并重新发送这些信号以控制汽车的远程无钥匙进入系统。该漏洞在旧车型中基本上仍未修复。但本田车主或许可以采取一些行动来保护自己免受这种攻击。该漏洞被跟踪为 CVE-2022-27254,是一种中间人(MitM)攻击,或者更具体地说是一种重放攻击,其中攻击者拦截通常从远程遥控钥匙发送到汽车的射频信号,操纵这些信号,并在以后重新发送这些信号以随意解锁汽车。研究人员建议是用户选择被动无钥匙进入 (PKE) 而不是远程无钥匙进入 (RKE),这将使攻击者“由于距离很近而更难克隆/读取信号。
通用汽车遭撞库攻击被暴露车主个人信息
通用汽车表示他们在4月11日至29日期间检测到了恶意登录活动,经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡,针对此次事件,通用汽车也及时给受影响的客服发邮件并告知客户。为了弥补客户所受损失,通用汽车表示,他们将为所有受此事件影响的客户恢复奖励积分。但根据调查,这些违规行为并不是通用汽车被黑客入侵的结果,而是由针对其平台上的客户的一波撞库攻击引起的。
网信办对滴滴作出网络安全审查,罚款80.26亿元
7月21日,国家互联网信息办公室公布对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定。
经查实,滴滴全球股份有限公司存在违法收集用户人脸识别、年龄段、职业等个人信息,频繁索取无关的“电话权限”,未准确、清晰说明个人信息处理目的等违法行为,事实清楚、证据确凿、情节严重、性质恶劣,依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
《汽车传输视频及图像脱敏技术要求与方法》团体标准正式发布
据中国汽车工业协会消息,8月18日,由中国汽车工业协会数据分会组织制定的团体标准T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》正式发布。
该标准规定了车辆向车外提供收集的车外视频、图像时应满足的有关人脸、车牌信息的格式要求、样本质量要求,脱敏功能要求、脱敏性能要求以及测试评估方法。该标准的发布与实施填补了我国汽车行业对车外视频、图像进行匿名化处理时技术标准缺失的问题,对于我国汽车企业落实《中华人民共和国个人信息保护法》和《汽车数据安全管理若干规定》中个人信息保护的要求有着指导意义。
《汽车传输视频及图像脱敏技术要求与方法》作为智能网联汽车领域重要的基础性标准,将为规范全行业匿名化等数据脱敏处理技术的开发和测试提供重要依据,帮助企业更好地实现车外数据收集的合规性,对推动个人隐私保护和提升行业数据安全水平有重要意义。
标准立项∣汽车远程升级(OTA)信息安全测试规范
8月,由中国智能网联汽车产业创新联盟(CAICV)提出,国汽(北京)智能网联汽车研究院有限公司牵头的CSAE标准《汽车远程升级(OTA)信息安全测试规范》已按《中国汽车工程学会标准(CSAE)制修订管理办法》有关规定通过立项审查,正式列入中国汽车工程学会标准研制计划。
国内首个自动驾驶示范区数据分类分级白皮书在京发布
9月18日,《北京市高级别自动驾驶测试示范区数据分类分级白皮书》于2022世界智能网联汽车大会正式发布,填补了国内自动驾驶示范区数据分级分类领域的空白,为行业数据安全管理提供“北京经验”。
年度产业盛会:为期3天的AutoSec第六届中国汽车网络安全周顺利落幕
9月21日-23日,由谈思实验室Taas Labs主办的“AutoSec 2022第六届中国汽车网络安全周暨第三届汽车数据安全展”在上海隆重举行。作为国内最早、连续6年业内规模最大的年度品牌盛会,AutoSec China Week第六届中国汽车网络安全周进行了为期3天的技术干货内容,有超过60家领先汽车厂商出席,600余名专业参会嘉宾参与,聚焦2大主题峰会(第三届中国功能安全及预期功能安全峰会&第六届中国汽车网络安全峰会)及1场独家AutoSec Expo中国汽车数据安全展的形式向大家多方位呈现,吸引业内近百家汽车及安全企业共同参与。同时,首届中国汽车网络安全女性领导者论坛及首届中国汽车网络安全未来独角兽论坛也在汽车网络安全周活动中顺利举行。作为国内唯一的汽车数据安全专业展,AutoSec Expo技术展区向业内同仁们全面展示了汽车功能安全、网络安全及数据安全各类前沿创新技术,全方位、多维度带给大家丰富多彩的活动体验,深入理解汽车网络安全防护技术及合规要求。
同时,备受关注的“AutoSec Awards 安全之星”第三届中国汽车网络安全行业颁奖盛典有100多个创新方案和优秀汽车网络安全产品参选,经过初选和权威专家的层层评审,最终有上汽赤霄网络信息安全实验室、国汽智联、中汽创智、奇安信有限公司等15家单位收获殊荣!
吉利网络安全实验室正式揭牌启用,并率先组织“汽车网络安全日”活动
10月,中汽气数据有限公司、腾讯云、安恒信息(简称:中汽数据) 助力吉利汽车研究院(宁波)有限公司建设的网络安全实验室正式揭牌推投入使用。吉利汽车研究院院长康国旺,中汽数据总经理冯屹,中汽数据副总经理杜志彬,中汽中心首席专家、中汽数据车联网业务部部长张亚楠、腾讯安全策略发展中心总经理吕一平等领导共同出席并见证了吉利网络安全实验室启动仪式。
同期,吉利集团联合谈思实验室共同主办“AutoSec中国行-吉利汽车网络安全日”活动,于宁波杭州湾新区吉利汽车研究院成功举办。吉利集团作为主机厂先锋代表率先开展安全文化日建设,从集团层面进行汽车安全意识培训等,活动汇聚了中汽数据、中国汽车工程院、博世、亚马逊云等行业头部单位大咖,集中分享了汽车安全最新政策合规、汽车网络安全体系建设、数据隐私保护、云安全、HSM硬件安全、安全工具、汽车攻防、CSMS平台等热点话题。另外技术展区以汽车网络安全、信息安全实践为主题,进行了专业技术展示和交流。吉利汽车研究院副院长任向飞、工程发布中心主任刘旭及相关吉利汽车网络安全领导出席了此次活动。
易特驰网络安全实验室正式投入运营
易特驰网络安全实验室Cyber Security Lab(以下简称“实验室”)于2022年11月1日在上海正式投入运营。该实验室可为智能汽车提供网络安全整体渗透测试解决方案覆盖整车、ECU以及云端应用系统等。易特驰汽车技术(上海)有限公司总裁李波、易特驰中国网络安全业务总监汤易、实验室技术总监李晓帆以及技术专家代表共同出席并见证了实验室揭牌仪式。
芯驰科技与云驰未来达成战略合作,共同打造车规级信息安全产品
11月,国内领先的车规芯片企业芯驰科技与智能汽车信息安全领跑企业云驰未来宣布达成战略合作,双方将依托各自的技术优势、产品能力和量产经验,重点围绕智能车载域控制器领域和智能汽车信息安全领域开展深度合作,为智能网联汽车行业用户提供高可靠的车规级信息安全产品和车载网络整体解决方案。
双方将基于云驰未来下一代智能汽车5G安全网络域控制器平台L3000,以及芯驰科技网关芯片“网之芯”G9等车规芯片,面向高等级自动驾驶和智能网联汽车开发车载安全网络域控制器产品和信息安全技术解决方案,包括硬件平台产品、软件中间件、开发工具链和VSOC云平台等。
华诚认证为一汽红旗颁发汽车数据安全与个人信息保护认证证书
2022年11月14日,中国第一汽车集团有限公司获颁国内首张华诚认证在国家认监委备案的汽车数据安全与个人信息保护认证证书。
2022年,华诚认证发布了国内首个汽车数据安全与个人信息保护CATARC标志认证。该认证基于相关法规、标准和技术规范,主要从“合规性审查”与“汽车数据安全与隐私保护测试”两大板块进行验证,包含车外人脸信息匿名化处理测试、座舱数据车内处理测试、个人信息的显著告知处理测试等几个方面。
一汽集团充分发挥产品研发的综合优势,展现出智能安全配置的不凡实力,在汽车数据安全管理和保障方面以较高水平一马当先,全新红旗H5凭借出色的表现,彰显了在加强个人信息和重要数据保护,规范汽车数据处理活动方面的软硬件能力,于2022年11月14日成为第一批获得该认证证书的车型。
《中国汽车基础软件信息安全研究报告1.0》正式发布,并进行深度解读
11月22日,《中国汽车基础软件信息安全研究报告1.0》正式发布。中国汽车工业协会软件分会理事长单位、AUTOSEMO轮值主席单位、中汽创智信息安全首席技术官胡红星博士代表AUTOSEMO发布了《中国汽车基础软件信息安全研究报告1.0》。《中国汽车基础软件信息安全研究报告1.0》是行业中首个将汽车基础软件将信息安全联合的课题研究,初步提出汽车基础软件与信息安全密不可分,基础软件是用于实现汽车系统软硬件解耦,虽然与用户应用功能无关,但提供汽车系统服务的支撑集合,是一个开发汽车控制及应用功能的嵌入式软件平台。作为汽车应用的基础支撑系统,汽车基础软件的信息安全对于保障整车系统的稳定运行起着至关重要的作用。
同时,胡红星博士联合电子科技大学高级工程师陈丽蓉女士及豆荚科技咨询顾问孙智超先生,做客AutoSec汽车安全直播课针对中国汽车软件生态委员会(Autosemo)发布的《中国汽车基础软件信息安全研究报告》进行深度解读。(点击下方阅读全文即可收看直播回放)
《智能网联汽车网络安全与数据安全发展报告(2022)》正式发布
11月24日,由中国汽车工程研究院股份有限公司(以下简称“中国汽研”)、车联网安全联合实验室牵头,联合行业优势资源编写,由社会科学文献出版社出版的《智能网联汽车网络安全与数据安全发展报告(2022)》(以下简称“蓝皮书”)正式发布。
蓝皮书以“智能网联汽车网络安全与数据安全”为主题,由总报告、安全芯片篇、数据安全篇、网络安全篇、在线升级篇、检测篇、技术篇、标准篇、及附录十部分组成,展现了智能网联汽车网络安全与数据安全产业发展现状,分析了安全薄弱点和威胁来源,介绍了多种安全架构设计方案和相关技术,探讨了我国多头标准的快速进展和未来标准体系统一的难度,同时基于智能网联汽车市场状况和典型投资项目剖析了投资风险并提出相应建议,旨在为智能网联汽车网络安全与数据安全发展提供智库支撑。
中共中央、国务院发布“数据二十条”
2022年12月19日,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)正式发布。
数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。数据基础制度建设事关国家发展和安全大局。为加快构建数据基础制度,充分发挥我国海量数据规模和丰富应用场景优势,激活数据要素潜能,做强做优做大数字经济,增强经济发展新动能,构筑国家竞争新优势,遂发布“数据二十条”。
蔚来数据泄露被勒索!官方回应实锤,21年的车主要遭殃
12月20日,网络上有人称破解了蔚来大量数据,包括蔚来内部员工数据22800条、车主用户身份证数据399000条。随后,蔚来官方发布《关于数据安全事件的声明》:2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。
经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。蔚来对于此次事件对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任。窃娶买卖此类数据是违法犯罪行为,对此予以严厉谴责,也坚决不会向网络犯罪行为低头。将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃娶买卖行为。
国内首个汽车信息安全研究中心正式揭幕
2022年12月22日,中汽信息安全研究中心揭幕仪式暨第四届车联网网络安全十大风险发布会在津成功举行。工业和信息化部网络安全管理局局长隋静,中汽中心党委委员、副总经理吴志新,中国工程院院士邬江兴,天津市通信管理局副局长卞春荣出席会议,中汽数据有限公司总经理冯屹主持会议。
未来,中汽中心将在汽车信息安全领域持续发力,以中汽信息安全研究中心为平台,促进建设互融、互通、互助的汽车安全生态,激活更多的社会效益、生态效益和经济效益,从安全治理、安全技术、安全产品、安全服务四个维度,形成汽车信息安全中汽模式,为我国汽车产业健康发展保驾护航。
沃尔沃再遭数据窃取,泄露200GB用
户数据
2022 年 12 月 31 日,论坛上一位昵称为 IntelBroker 的成员宣布,VOLVO CARS 成为勒索软件攻击的受害者。他声称该公司遭到 Endurance 勒索软件团伙的袭击,攻击者窃取了 200GB 的敏感数据,这些数据现在正在出售。
目前沃尔沃公司并未对此事件进行回应,因此尚无法确定被泄数据的真实性。但是在2021 年 12 月,瑞典汽车制造商沃尔沃汽车公司透露攻击者从其系统中窃取了研发数据,此后数据并未公开,也没有收到任何勒索信息。因此,此次公开出售的数据尚不清楚是否是2021 年数据泄露事件中的数据,或者是新的数据泄露事件。
编辑:黄飞
评论
查看更多