汽車制造商工業(yè)數(shù)據(jù)泄露不容忽視

馬英才 陸峰 安暉

2018 年7 月20 日《紐約時(shí)報(bào)》報(bào)道，大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉、蒂森克虜伯等100 多家汽車產(chǎn)業(yè)鏈上下游公司的敏感數(shù)據(jù)被加拿大汽車供應(yīng)商Level One 的共同服務(wù)器泄露。泄露的數(shù)據(jù)有公司藍(lán)圖規(guī)劃、工廠圖表、制造細(xì)節(jié)、工作計(jì)劃、客戶資料、保密協(xié)議以及包括駕照、護(hù)照等信息在內(nèi)的員工隱私信息，共計(jì)157GB，4.7 萬(wàn)份文件。此次事件為制造業(yè)在數(shù)字化過(guò)程中如何保護(hù)好數(shù)據(jù)敲響了警鐘。

背景

傳統(tǒng)汽車制造業(yè)加速數(shù)字化轉(zhuǎn)型。當(dāng)前，全球汽車制造業(yè)正迎來(lái)深刻變革，數(shù)字化技術(shù)快速滲透進(jìn)汽車制造的各個(gè)環(huán)節(jié)，大眾、寶馬、奔馳、特斯拉等越來(lái)越多的汽車制造商主動(dòng)擁抱互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新一代信息技術(shù)。寶馬汽車公司將工業(yè)數(shù)字化作為轉(zhuǎn)型的重大機(jī)遇，在智能機(jī)器人、模擬仿真和工廠數(shù)字化、智能物流、智能數(shù)據(jù)管理等方面全面推進(jìn)。大眾不僅在歐洲推進(jìn)數(shù)字化，在中國(guó)的 20 個(gè)生產(chǎn)工廠數(shù)字化進(jìn)程也在加快。汽車制造商數(shù)字商業(yè)模式創(chuàng)新勃發(fā)，戴姆勒公司的移動(dòng)服務(wù)注冊(cè)用戶已達(dá)到1420 萬(wàn)。同時(shí)，傳統(tǒng)汽車制造廠商與數(shù)據(jù)科技公司合作日趨緊密，歐盟、美國(guó)、日本等國(guó)家和地區(qū)的汽車制造商通過(guò)投資并購(gòu)以及與創(chuàng)新型科技公司合作等方式，積極打造數(shù)字化生態(tài)系統(tǒng)。如亞馬遜和寶馬、大眾和谷歌已經(jīng)開(kāi)展跨界合作，提升汽車智能化水平和用戶駕乘體驗(yàn)。

汽車制造業(yè)曾多次發(fā)生數(shù)據(jù)泄露事件。2015 年以來(lái)，汽車產(chǎn)業(yè)鏈上下游就已經(jīng)發(fā)生了多起數(shù)據(jù)泄露案件。2015 年4 月，白帽子向?yàn)踉破脚_(tái)提交名為“東風(fēng)雪鐵龍某后臺(tái)弱口令可導(dǎo)致全國(guó)幾百個(gè)經(jīng)銷商賬號(hào)與大量個(gè)人數(shù)據(jù)泄露”的漏洞，通過(guò)該漏洞可以查看東風(fēng)雪鐵龍經(jīng)銷商等敏感信息，同時(shí)有網(wǎng)友在博客上以1-2 元人民幣的價(jià)格兜售雪鐵龍車主信息，并提供了數(shù)據(jù)庫(kù)截圖，泄露數(shù)據(jù)包括車主姓名、手機(jī)號(hào)碼、意向購(gòu)車型號(hào)等，規(guī)模超過(guò)10 萬(wàn)條。2017 年6 月，汽車制造商謳歌、寶馬、克萊斯勒等多家汽車制造商的上千萬(wàn)輛汽車VIN 識(shí)別碼數(shù)據(jù)以及相關(guān)購(gòu)買者的個(gè)人信息被泄露。12 月，黑客入侵了日產(chǎn)加拿大分部的車輛融資部門，113 萬(wàn)名客戶的個(gè)人信息被竊取，其中包括客戶姓名、地址、車輛制造商和型號(hào)、車輛識(shí)別號(hào)（VIN）、信用評(píng)分、貸款金額和每月付款金額等敏感信息。

案例介紹

事件經(jīng)過(guò)。7 月20 日，據(jù)《紐約時(shí)報(bào)》報(bào)道，網(wǎng)絡(luò)安全公司UpGuard 安全研究員發(fā)現(xiàn)，來(lái)自大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉等100 多家汽車制造公司的敏感文件在加拿大汽車供應(yīng)商Level One 的公共服務(wù)器上被曝光。這些數(shù)據(jù)包括公司藍(lán)圖規(guī)劃、工廠圖表、制造細(xì)節(jié)、工作計(jì)劃、客戶資料、保密協(xié)議以及含有駕照、護(hù)照、發(fā)票、銀行賬戶等在內(nèi)的員工隱私信息。UpGuard 安全團(tuán)隊(duì)在7 月1 日發(fā)現(xiàn)了該漏洞，7 月9 日聯(lián)系Level One，Level One 收到通知后立即關(guān)閉了服務(wù)器，并在7月10 日修復(fù)了漏洞。盡管及時(shí)堵住了漏洞，但仍舊有大量隱私數(shù)據(jù)和敏感資料被泄露。

后續(xù)發(fā)展。泄露事件發(fā)生后，Level One 首席執(zhí)行官米蘭·加斯科（Milan Gasko）對(duì)此回應(yīng)，公司高度重視此次泄露事件，正在進(jìn)行全面調(diào)查，但拒絕披露更多信息。加斯科同時(shí)表示，任何外部各方并不能找到該數(shù)據(jù)庫(kù)的入口，也沒(méi)有有效的工具檢測(cè)到是否有人訪問(wèn)過(guò)該數(shù)據(jù)庫(kù)。此聲明暗含數(shù)據(jù)并未大規(guī)模泄露，有推卸責(zé)任之意。另外，豐田、通用、大眾、福特、特斯拉等汽車廠商尚未對(duì)此次數(shù)據(jù)泄露事件進(jìn)行評(píng)論。

簡(jiǎn)評(píng)

制造業(yè)成為數(shù)據(jù)泄露的高發(fā)領(lǐng)域。近年來(lái)，數(shù)據(jù)泄露事件呈現(xiàn)頻發(fā)，零售、社交、金融、制造等行業(yè)成為數(shù)據(jù)泄露的重點(diǎn)領(lǐng)域，其中制造業(yè)數(shù)據(jù)泄露呈現(xiàn)高發(fā)態(tài)勢(shì)。據(jù)Verizon 發(fā)布的數(shù)據(jù)泄露調(diào)查報(bào)告顯示，2017 年全球針對(duì)制造業(yè)的數(shù)據(jù)泄露事件多達(dá)620 余起，泄露的數(shù)據(jù)包括行業(yè)秘密、商業(yè)計(jì)劃、知識(shí)產(chǎn)權(quán)等，其中九成以上的被泄露數(shù)據(jù)都達(dá)到了機(jī)密級(jí)別，與企業(yè)利益緊密相關(guān)。目前制造業(yè)數(shù)字化程度越來(lái)越高，傳感器、工業(yè)軟件、智能機(jī)器人、工業(yè)互聯(lián)網(wǎng)和工業(yè)云等技術(shù)日益普及，任何不當(dāng)管理、安全漏洞和人員疏忽等隱患都會(huì)導(dǎo)致數(shù)據(jù)泄露，給企業(yè)造成的損失也將不可估量。

第三方提供商成為數(shù)據(jù)安全的軟肋。第三方數(shù)據(jù)服務(wù)提供商由于獲得了企業(yè)訪問(wèn)權(quán)等權(quán)限，加大了企業(yè)數(shù)據(jù)泄露的風(fēng)險(xiǎn)，而且正在成為企業(yè)數(shù)據(jù)泄露的源頭。安全研究公司 Ponemon Institute 的一項(xiàng)調(diào)查研究顯示，2017 年56%的受調(diào)查企業(yè)就遇到過(guò)因供應(yīng)商問(wèn)題而導(dǎo)致的數(shù)據(jù)泄露，平均每家公司有 470 家外部公司可以訪問(wèn)其敏感數(shù)據(jù)庫(kù)，比2016 年的380 家增長(zhǎng)了約23.7%。當(dāng)前，很多企業(yè)將數(shù)據(jù)的存儲(chǔ)、分析和處理業(yè)務(wù)委托給第三方數(shù)據(jù)服務(wù)提供商，但并未與第三方數(shù)據(jù)服務(wù)商建立數(shù)據(jù)訪問(wèn)權(quán)限、數(shù)據(jù)安全保護(hù)流程、數(shù)據(jù)泄露應(yīng)急計(jì)劃等機(jī)制，加上第三方數(shù)據(jù)服務(wù)提供商數(shù)據(jù)管理不當(dāng)，導(dǎo)致企業(yè)和供應(yīng)商不能主動(dòng)發(fā)現(xiàn)數(shù)據(jù)安全漏洞，因此數(shù)據(jù)泄露一旦發(fā)生，往往是被動(dòng)應(yīng)付，不能迅速有效采取措施進(jìn)行補(bǔ)救。

我國(guó)應(yīng)加快補(bǔ)齊制造強(qiáng)國(guó)戰(zhàn)略數(shù)據(jù)安全保護(hù)短板。此次汽車制造產(chǎn)業(yè)鏈上下游數(shù)據(jù)泄露事件為制造強(qiáng)國(guó)戰(zhàn)略數(shù)據(jù)安全保護(hù)敲響警鐘。工業(yè)大數(shù)據(jù)在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、市場(chǎng)營(yíng)銷、售后服務(wù)等產(chǎn)業(yè)鏈各環(huán)節(jié)開(kāi)始廣泛深度應(yīng)用，已經(jīng)成為實(shí)施制造強(qiáng)國(guó)戰(zhàn)略，加快從制造大國(guó)向制造強(qiáng)國(guó)邁進(jìn)的強(qiáng)力引擎。然而，我國(guó)數(shù)據(jù)安全建設(shè)滯后數(shù)據(jù)應(yīng)用和制造業(yè)轉(zhuǎn)型升級(jí)步伐，在工業(yè)控制系統(tǒng)、工業(yè)互聯(lián)網(wǎng)、工業(yè)數(shù)據(jù)安全技術(shù)手段等多個(gè)領(lǐng)域存在短板。必須從政策制定、技術(shù)產(chǎn)品研發(fā)、管理機(jī)制改革等多個(gè)方面發(fā)力彌補(bǔ)數(shù)據(jù)安全保護(hù)方面的不足，推進(jìn)制造強(qiáng)國(guó)戰(zhàn)略順利實(shí)施。