第四届沈阳智能网联汽车大会8月16日至17日在沈阳市大东区举办,主题为“车路协同,新质赋能”。国家工业信息安全发展研究中心数据安全所技术柳彩云出席并演讲。
柳彩云表示,随着智能网联汽车的发展和应用,数据成为车路云协同计算关键的生产要素,与此同时,汽车数据安全的攻击路径逐渐变多。实时监测工业领域数据安全风险情况,发现一个特点,汽车和医疗存在数据泄露,包括数据在暗网交易等风险。
柳彩云指出,汽车属于比较突出的行业,针对车企数据的勒索、数据的泄露、数据暗网交易的风险和事件频繁发生。2023年上半年汽车领域的网络趋势报告提到汽车行业的数据泄露事件占汽车安全事件总数的37%,数据泄露的风险也是在逐年攀升。
结合各个部委的管理办法、标准文档等等,她梳理了车企在数据安全工作中几项比较重要的任务。
第一,开展企业的数据资产安全管理。两个方面,一是确定数据分类分级范围、策略制定,形成我们自己企业内部的分类分级的标准,输出数据分类分级清单。在此基础上,为了满足国家相应合规性的要求,可以将分类分级清单再进行进一步的细化,按照相应的目录备案表去完成备案。
第二,考虑数据安全跟业务密切相关,因此建议可以面向组织内部各个部门,比如说研发、生产、供销等各部门开展数据安全的意识增强,数据安全合规政策解读、技能培训等相关的培训。
第三,建立覆盖全生命周期的数据安全管理制度。
第四,开展数据存储、传输加密、操作审计、监测预警等技术手段的建设。
第五,常态化开展数据安全监测预警建设,通过风险监测的平台,或者是日志审计,数据库审计各个类型的技术的组合来形成数据安全监测的技术体系。
第六,开展数据安全评估工作,这里面有常态化的风险评估,比如说每年要求的数据安全风险评估,同时也会有一些临时性的,比如说有业务要出海,或者其他的业务需求要开展数据出境评估报告。