作者:
Samuel weng,汽车行业技术洞察
原创不易,求点赞-收藏-转发,如觉内容精彩,求打赏。
本次论述数据隐私系统工程方法论问题,及针对现在行业发展痛点具体描述。
一、汽车行业数据隐私和其他行业的不同
从车到其他地方被重点监管,本质原因是车不受人的控制。
或者你可以理解信息可控性的概念。
手机端发布的平台,通常可以撤回,或者修改,信息在消费者手中可控,风险低,被泄露等也是直接犯罪行为和黑客。这种直接人和人的关系问题,手机厂商在数据链路传递介入不多。
手机端如果需要数据存储云端,也会有隐私政策,这块消费者如果授权同意,则APP行业有了证据。这是典型to C的逻辑。
而车的数据,在数据安全上的做法,不按消费类电子看待,而是按to B的逻辑。to B的做法,也是类似和关基和服务器的套路。
通常四层网络架构,车联网。
云端和其他路测等端第一层,采用关基数据保护及服务器数据保护相关,强适用重要数据及核心数据。必须脱敏,个人可识别数据以上以上,S定义在3以上,起码企业级,是否国土级待评估。
车载网关tbox等最大对外interface第二层,此处类似手机通讯,出车要考虑脱敏,但不强制,重点看场景和业务。corner case一般是车机通讯,短程开门,MITM等,此类数据泄露或者威胁,通常个人相关,到组织利益之间(诊断功能),所以评级上:
(1)物理出车,数据量大,侵犯隐私风险高,必须脱敏,或者去标识化,包括EDR,DVR,DSSAD,USB,硬盘等。
(2)近程通讯出车,通常100米以内的叫近程,传输量低,稳定性差,攻击窗口小,一般不脱敏,但加密和授权要做到位,日志准备好,为后续数据安全运营留证据,一有问题进入举报投诉,另外车企自建保险制度,作为backup
(3)远程通讯出车
1000km以上,传输量大,稳定性高,攻击窗口大,一般要脱敏,加密和授权必须到位,测绘数据分流方案。两套PKI体系。
第三层来自车内主控制器,及数据出车必要节点。此处需要分类。
(1)如果涉及整车类数据,非存储及明确训练识别个人相关,则采用已有车端网络安全方案,部分调用质量类方案支撑,提升数据运行质量。存储及明确训练,需要做日志及访问控制。
(2)个人数据,不进行处理
(3)重要数据及核心数据,运行时在车内主节点或者出车最后节点,进行脱敏脱密等操作。
第四层车内网络及ECU本体。
根据车端各功能数据收集类型及潜在出车可能评估,结合功能状态机模式,实现最终方案,原则不过多设计数据隐私专门措施。
二、各类数据出车媒介设计原则
物理类出车,采用的数据保护措施必须最高,用成本允许的最高标准,例如禁用功能等
远程类出车,采用的数据保护措施必须次高,尽可能保护,特别防护MITM
近程类出车,数据保护措施可以最低,重点叮住个人数据,近程类通常个人数据泄露。
三、2021年以来的汽车数据安全发展综述
行业内针对数据保护,有成立专门工程团队的,也有直接合规法务兼任的。这两种都可以,但效果上都遇到如下痛点:
1.天然的数据安全没法在工程上被合理得落地。
2.国内的数据安全来的太快,没有隐私及数据安全工程化行业氛围,导致技术人员很尬的接受,基因上不协同
3.合规和法律的高压线,众所周知,但久了如果都是这样(方法论由数据类型和分级直接决定推荐的保护措施,该做法不符合技术开发传统),容易疲劳,无法持久,最终数据安全无法健康在工程实践落地。
个人推荐做法:
1.如果从行业认真观察,国外的隐私实践需要充分被国内吸收,打下基础,个人数据需要明确威胁主体和建模。
否则没有可能性,一味强调个人数据的重要,造成的是车企的半推半就,而且国内大环境,真正落地率在10%。
2.核心数据,重要数据等在单车范围强调工程应尽最小义务,这点上法务尚未给出,或者为灰色地带,相关部委采取定期惩罚制度,但不利于车企正向持续开发,实际行业发展需要各个法务给出最小义务,针对工程化各个威胁暴露面,细化需求。
四、汽车数据安全威胁建模问题
针对威胁建模的看法,数据安全只能从整体看待
1.DFD图的所有分支,开环处各个起点和重点过程分析,闭环处进行闭环细节分析
2.各分支整体威胁评分,数据行为与对应潜在已知威胁评分,定性判断。
潜在威胁由安全运营给出。
整体分支给出防护概念。
3.各分支各节点处具体评分,视已有风险防护措施评定风险
(1)质量领域数据可靠度措施
(2)功能安全类安全机制
(3)网络安全类安全机制
(4)系统层级防护
(5)已有field data及event记录灌注计算在野可信度
最终高,中,低风险,并定义风险处置方案。
以上。