數(shù)據(jù)泄露事件頻發(fā) 誰悄悄打開了車企的“后門”？

馬英才 陸峰 安暉

2018年7月20日，據(jù)《紐約時報》報道，大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉、蒂森克虜伯等100多家汽車產(chǎn)業(yè)鏈上下游公司的敏感數(shù)據(jù)被加拿大汽車供應商Level One的共同服務器泄露。泄露的數(shù)據(jù)有公司藍圖規(guī)劃、工廠圖表、制造細節(jié)、工作計劃、客戶資料、保密協(xié)議以及包括駕照、護照等信息在內(nèi)的員工隱私信息，共計157GB，4.7萬份文件。此次事件為制造業(yè)在數(shù)字化過程中如何保護好數(shù)據(jù)敲響了警鐘。

數(shù)據(jù)泄露事件頻發(fā)

傳統(tǒng)汽車制造業(yè)加速數(shù)字化轉(zhuǎn)型。當前，全球汽車制造業(yè)正迎來深刻變革，數(shù)字化技術快速滲透進汽車制造的各個環(huán)節(jié)，大眾、寶馬、奔馳、特斯拉等越來越多的汽車制造商主動擁抱互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新一代信息技術。寶馬汽車公司將工業(yè)數(shù)字化作為轉(zhuǎn)型的重大機遇，在智能機器人、模擬仿真和工廠數(shù)字化、智能物流、智能數(shù)據(jù)管理等方面全面推進。大眾不僅在歐洲推進數(shù)字化，在中國的20個生產(chǎn)工廠數(shù)字化進程也在加快。汽車制造商數(shù)字商業(yè)模式創(chuàng)新勃發(fā)，戴姆勒公司的移動服務注冊用戶已達到1420萬。同時，傳統(tǒng)汽車制造廠商與數(shù)據(jù)科技公司合作日趨緊密，歐盟、美國、日本等國家和地區(qū)的汽車制造商通過投資并購以及與創(chuàng)新型科技公司合作等方式，積極打造數(shù)字化生態(tài)系統(tǒng)。如亞馬遜和寶馬、大眾和谷歌已經(jīng)開展跨界合作，提升汽車智能化水平和用戶駕乘體驗。

汽車制造業(yè)曾多次發(fā)生數(shù)據(jù)泄露事件。2015年以來，汽車產(chǎn)業(yè)鏈上下游就已經(jīng)發(fā)生了多起數(shù)據(jù)泄露案件。2015年4月，白帽子向烏云平臺提交名為“東風雪鐵龍某后臺弱口令可導致全國幾百個經(jīng)銷商賬號與大量個人數(shù)據(jù)泄露”的漏洞，通過該漏洞可以查看東風雪鐵龍經(jīng)銷商等敏感信息，同時有網(wǎng)友在博客上以1-2元人民幣的價格兜售雪鐵龍車主信息，并提供了數(shù)據(jù)庫截圖，泄露數(shù)據(jù)包括車主姓名、手機號碼、意向購車型號等，規(guī)模超過10萬條。2017年6月，謳歌、寶馬、克萊斯勒等多家汽車制造商的上千萬輛汽車的車輛識別號（VIN）數(shù)據(jù)以及相關購買者的個人信息被泄露。12月，黑客入侵了日產(chǎn)加拿大分部的車輛融資部門，113萬名客戶的個人信息被竊取，其中包括客戶姓名、地址、車輛制造商和型號、車輛識別號（VIN）、信用評分、貸款金額和每月付款金額等敏感信息。

百余車企“中招”

事件經(jīng)過。7月20日，據(jù)《紐約時報》報道，網(wǎng)絡安全公司UpGuard安全研究員發(fā)現(xiàn)，來自大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉等100多家汽車制造公司的敏感文件在加拿大汽車供應商Level One的公共服務器上被曝光。這些數(shù)據(jù)包括公司藍圖規(guī)劃、工廠圖表、制造細節(jié)、工作計劃、客戶資料、保密協(xié)議以及含有駕照、護照、發(fā)票、銀行賬戶等在內(nèi)的員工隱私信息。UpGuard安全團隊在7月1日發(fā)現(xiàn)了該漏洞，7月9日聯(lián)系上Level One，Level One收到通知后立即關閉了服務器，并在7月10日修復了漏洞。盡管及時堵住了漏洞，但仍舊有大量隱私數(shù)據(jù)和敏感資料被泄露。

后續(xù)發(fā)展。泄露事件發(fā)生后，Level One首席執(zhí)行官米蘭·加斯科（Milan Gasko）對此回應，公司高度重視此次泄露事件，正在進行全面調(diào)查，但拒絕披露更多信息。加斯科同時表示，任何外部各方并不能找到該數(shù)據(jù)庫的入口，也沒有有效的工具檢測到是否有人訪問過該數(shù)據(jù)庫。此聲明暗含數(shù)據(jù)并未大規(guī)模泄露，有推卸責任之意。另外，豐田、通用、大眾、福特、特斯拉等汽車廠商尚未對此次數(shù)據(jù)泄露事件進行評論。

誰在泄露企業(yè)數(shù)據(jù)？

制造業(yè)成為數(shù)據(jù)泄露的高發(fā)領域。近年來，數(shù)據(jù)泄露事件呈現(xiàn)燎原之勢，零售、社交、金融、制造等行業(yè)成為數(shù)據(jù)泄露的重點領域，其中制造業(yè)數(shù)據(jù)泄露呈現(xiàn)高發(fā)態(tài)勢。據(jù)Verizon發(fā)布的數(shù)據(jù)泄露調(diào)查報告顯示，2017年全球針對制造業(yè)的數(shù)據(jù)泄露事件多達620余起，泄露的數(shù)據(jù)包括行業(yè)秘密、商業(yè)計劃、知識產(chǎn)權(quán)等，其中九成以上的被泄露數(shù)據(jù)都達到了機密級別，與企業(yè)利益緊密相關。目前制造業(yè)數(shù)字化程度越來越高，傳感器、工業(yè)軟件、智能機器人、工業(yè)互聯(lián)網(wǎng)和工業(yè)云等技術日益普及，任何不當管理、安全漏洞和人員疏忽等隱患都會導致數(shù)據(jù)泄露，給企業(yè)造成的損失也將不可估量。

第三方提供商成為數(shù)據(jù)安全的軟肋。第三方數(shù)據(jù)服務提供商由于獲得了企業(yè)訪問權(quán)等權(quán)限，不僅加大了企業(yè)數(shù)據(jù)泄露的風險，而且正在成為企業(yè)數(shù)據(jù)泄露的源頭。安全研究公司Ponemon Institute的一項調(diào)查研究顯示，2017年56%的受調(diào)查企業(yè)就遇到過因供應商問題而導致的數(shù)據(jù)泄露，平均每家公司有470家外部公司可以訪問其敏感數(shù)據(jù)庫，比2016年的380家增長了約23.7%。當前，很多企業(yè)將數(shù)據(jù)的存儲、分析和處理業(yè)務委托給第三方數(shù)據(jù)服務提供商，但并未與第三方數(shù)據(jù)服務提供商建立數(shù)據(jù)訪問權(quán)限、數(shù)據(jù)安全保護流程、數(shù)據(jù)泄露應急計劃等機制，加上第三方數(shù)據(jù)服務提供商數(shù)據(jù)管理不當，導致企業(yè)和供應商不能主動發(fā)現(xiàn)數(shù)據(jù)安全漏洞，因此數(shù)據(jù)泄露一旦發(fā)生，往往是被動應付，不能迅速有效的采取措施進行補救。

我國應加快補齊制造強國數(shù)據(jù)安全保護短板。此次汽車制造產(chǎn)業(yè)鏈上下游數(shù)據(jù)泄露事件為制造強國數(shù)據(jù)安全保護敲響警鐘。工業(yè)大數(shù)據(jù)在研發(fā)設計、生產(chǎn)制造、經(jīng)營管理、市場營銷、售后服務等產(chǎn)業(yè)鏈各環(huán)節(jié)開始廣泛深度應用，已經(jīng)成為實施制造強國戰(zhàn)略，加快從制造大國向制造強國邁進的強力引擎。然而，我國數(shù)據(jù)安全建設滯后了數(shù)據(jù)應用和制造業(yè)轉(zhuǎn)型升級的步伐，在工業(yè)控制系統(tǒng)、工業(yè)互聯(lián)網(wǎng)、工業(yè)數(shù)據(jù)安全技術手段等多個領域存在短板。必須從政策制定、技術產(chǎn)品研發(fā)、管理機制改革等多個方面發(fā)力彌補數(shù)據(jù)安全保護方面的不足，推進制造強國戰(zhàn)略順利實

施。