互聯網時代,隱私問題幾乎困擾著每一個人,而在車智能化后,主機廠想要打造操控與信息都安全的汽車,也需要技術的突破。
新造車企業拜騰在拿出新產品BYTON Concept 后,很多人就對他們提出了數據安全方面的疑問。就相關話題,在車展期間,36氪采訪了是BYTON拜騰云技術、車聯網及數據安全高級總監陳泰宇先生(Abe Chen)。他曾就職于特斯拉和蘋果公司,并帶領團隊獲得過2017年世界黑客大賽的冠軍。
他告訴36氪,BYTON拜騰在創業初期成立了數據安全中心,用于研發預防和應對黑客攻擊的方案,并將研發成果應用到首款量產車型中。BYTON拜騰還會聯合第三方合作伙伴進行數據安全測試,進一步提高產品的安全性。
陳泰宇表示,具備機器學習能力的智能網關是拜騰數據安全的核心技術之一,它能夠實時跟蹤車內狀況,及時發現潛在的故障和威脅,并采取應對措施。BYTON拜騰的智能安全云利用高強度加密方法保護數據,并建立數據模型偵別惡意攻擊。
“BYTON拜騰自主優化的V2X車聯網技術可以改善車輛與車輛、車輛與云端之間的通信,可以讓數據傳輸更快捷、更安全。即使在移動網絡覆蓋范圍之外,用戶的車輛依然會利用拜騰專有的網狀(mesh)技術,以支持車輛和基礎設施之間的持續通信,這將構成未來自動駕駛能力的關鍵性基礎技術。”
每個拜騰用戶都會擁有一個專屬賬戶,這將是用戶手機、車輛和云端的通用賬戶。“用戶的拜騰賬戶以及個人數據經過加密存儲在具有安全保障的硬件模塊中,即使黑客可以坐在車里操作。量產車上市后,拜騰也將詳盡的對用戶說明互聯應用對隱私的影響,用戶有權選擇他們要共享的數據,決定數據的保存時間,何時刪除數據以及數據的使用方式。”
拜騰云技術、車聯網及數據安全高級總監陳泰宇
以下為36氪記者整理部分采訪實錄
外界了解到您之前在美國有自己的團隊的,您是個人還是帶團隊加入拜騰?
陳泰宇:我的團隊全部都加入了拜騰,目前數據安全中心有6個人,還在招更多的。
您提到拜騰用戶每人都有一個獨立的ID,但一輛車可能會有很多個用戶,如果家里有老人或者是不熟悉操作的人,能不能不登錄便使用汽車?
陳泰宇:這輛車本身是有面部識別的,坐前排的到底是爸爸、孩子還是老人都是可以識別的。要使用這輛車并不一定每次都要登錄,但有一些功能需要有賬戶才能夠使用,比如說你的朋友向你借了一輛車,你的朋友是沒有ID的,車會知道有一個陌生人坐在車里面,告訴你有一個人用了你的車,如果這個朋友想要拜騰認識他,了解他的個人喜好,并且可以駕駛這輛車,這時候就需要建立賬戶了。
乘客信息會存在云端,拜騰如何確保密碼的安全性,保證數據的安全?
陳泰宇:有些信息必須要存儲在云端,還有一些(信息)不需要,我們也在研究其他的方式讓ID變得更加安全,今后我們有相關的研究成果也會給大家通報。其實拜騰本身是不會獲取這些數據的,因為這些數據在系統上是加密的,我們可以確保用戶知道到底有哪些數據是要進行存儲的,包括用戶是不是可以及時刪除相關的數據,這些都是可以由用戶自己來決定的。
同時,我們會有硬件的安全模塊,這個安全模塊是在數據中心的。而且我們會使用一種混合模式,在云端不會存儲敏感的信息,最為敏感的信息是存儲在我們的數據中心的。
關于數據安全,陳先生提到了硬件的安全模塊,那么在軟件方面預防黑客入侵,我們是通過哪些方式解決的,比如說數據加密或者是防火墻?有沒有一些我們大家不知道的方式來保證數據不被入侵?
陳泰宇:其中一個是機器學習,因為車內很多流量都是可以預測的,有一些固定的模式,我們需要建立相關的模型來判斷這個到底是正常的還是不正常的,建立了這個模型意味著我們要收集很多車的數據,根據這樣一些數據來判斷到底是正常還是不正常的。確保軟件安全最為重要的方法就是做測試,我們專門有一個防侵入的團隊不斷地進行產品測試,確保我們在軟件開發過程中能有相關的機制來應對。
蘋果手機可以通過一定的方式“越獄”,蘋果ID也并非能完全預防入侵,如果到了汽車上,面臨的壓力是否更大?
陳泰宇:首先,我覺得很多時候導致不安全的原因為了增加更多的設置,需要做很多妥協,必須要犧牲相關的安全,如果功能和安全之間的妥協,肯定就會讓這輛車不那么安全,所以我們的解決方法是專門成立了一個數據安全中心,而不是成立了一個車聯網中心,原因是我們把安全看得比車聯更為重要,我們先是通過安全工程師來做車聯網。但是其他的廠商先是讓工程師來做相關的產品,最后才把安全的技術加進去。這涉及到哪個優先的問題。
記者:您認為開放系統最不好的一點是什么?
陳泰宇:開放系統最不好的一點是因為給第三方太多的控制權,我們會使用API的方法盡量減少第三方對內容的控制,我們需要確保第三方是符合標準的,比如自動駕駛,很多時候相關的自動駕駛的數據是由我們自己來控制的,所以我們必須要確保自己有控制權,并且相關的體系需要符合我方的標準,或者是在我方標準的嚴格監控下。
我們對第三方的開放程度是怎么樣的?如果和第三方合作,怎么確保提供的服務的主導權?
陳泰宇:我們會有拜騰的智慧網關進行相關安全的控制,不管是自己提供的服務還是第三方的服務。比如我們的語音服務、大屏、信息娛樂,如果我們發現相關的輸入并不是安全的,智慧網關可能就會提醒你禁止這樣的輸入。
我們會和第三方安全研究人員進行合作交流嗎?
陳泰宇:本身我們是做安全研究的,也歡迎第三方研究人員和我們開展合作。之前我們也參加了黑客大賽,我和我的團隊成員也在很多大學和安全會議上進行宣教,希望通過宣教讓大家知道如何使汽車不會被侵入,希望自己有機會來舉辦汽車黑客大賽。
關于和政府的關系方面,政府有沒有權限調用你們的數據,你們的數據在什么樣的情況下會接入到基礎設施的網絡中去?有沒有和美國政府或中國政府進行過相關的溝通?
陳泰宇:只要我們在這些國家開展業務,肯定就要滿足當地的法規要求,我們可能會分享符合法律規定的這些數據,但如果不是法律要求一定要提供的數據,我們就有權拒絕,包括在美國,如果不是相關法律要求必須提供的,我們是拒絕的,只有這樣才能更好地保護用戶的隱私。而且我們會在用戶所在的國家和地區進行相關信息的存儲,歐洲的數據存在歐洲的數據中心,中國的數據存在中國的數據,美國的數據存在美國的數據中心。
