數據泄露事件頻發 誰悄悄打開了車企的“后門”？

馬英才 陸峰 安暉

2018年7月20日，據《紐約時報》報道，大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉、蒂森克虜伯等100多家汽車產業鏈上下游公司的敏感數據被加拿大汽車供應商Level One的共同服務器泄露。泄露的數據有公司藍圖規劃、工廠圖表、制造細節、工作計劃、客戶資料、保密協議以及包括駕照、護照等信息在內的員工隱私信息，共計157GB，4.7萬份文件。此次事件為制造業在數字化過程中如何保護好數據敲響了警鐘。

數據泄露事件頻發

傳統汽車制造業加速數字化轉型。當前，全球汽車制造業正迎來深刻變革，數字化技術快速滲透進汽車制造的各個環節，大眾、寶馬、奔馳、特斯拉等越來越多的汽車制造商主動擁抱互聯網、大數據、人工智能等新一代信息技術。寶馬汽車公司將工業數字化作為轉型的重大機遇，在智能機器人、模擬仿真和工廠數字化、智能物流、智能數據管理等方面全面推進。大眾不僅在歐洲推進數字化，在中國的20個生產工廠數字化進程也在加快。汽車制造商數字商業模式創新勃發，戴姆勒公司的移動服務注冊用戶已達到1420萬。同時，傳統汽車制造廠商與數據科技公司合作日趨緊密，歐盟、美國、日本等國家和地區的汽車制造商通過投資并購以及與創新型科技公司合作等方式，積極打造數字化生態系統。如亞馬遜和寶馬、大眾和谷歌已經開展跨界合作，提升汽車智能化水平和用戶駕乘體驗。

汽車制造業曾多次發生數據泄露事件。2015年以來，汽車產業鏈上下游就已經發生了多起數據泄露案件。2015年4月，白帽子向烏云平臺提交名為“東風雪鐵龍某后臺弱口令可導致全國幾百個經銷商賬號與大量個人數據泄露”的漏洞，通過該漏洞可以查看東風雪鐵龍經銷商等敏感信息，同時有網友在博客上以1-2元人民幣的價格兜售雪鐵龍車主信息，并提供了數據庫截圖，泄露數據包括車主姓名、手機號碼、意向購車型號等，規模超過10萬條。2017年6月，謳歌、寶馬、克萊斯勒等多家汽車制造商的上千萬輛汽車的車輛識別號（VIN）數據以及相關購買者的個人信息被泄露。12月，黑客入侵了日產加拿大分部的車輛融資部門，113萬名客戶的個人信息被竊取，其中包括客戶姓名、地址、車輛制造商和型號、車輛識別號（VIN）、信用評分、貸款金額和每月付款金額等敏感信息。

百余車企“中招”

事件經過。7月20日，據《紐約時報》報道，網絡安全公司UpGuard安全研究員發現，來自大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉等100多家汽車制造公司的敏感文件在加拿大汽車供應商Level One的公共服務器上被曝光。這些數據包括公司藍圖規劃、工廠圖表、制造細節、工作計劃、客戶資料、保密協議以及含有駕照、護照、發票、銀行賬戶等在內的員工隱私信息。UpGuard安全團隊在7月1日發現了該漏洞，7月9日聯系上Level One，Level One收到通知后立即關閉了服務器，并在7月10日修復了漏洞。盡管及時堵住了漏洞，但仍舊有大量隱私數據和敏感資料被泄露。

后續發展。泄露事件發生后，Level One首席執行官米蘭·加斯科（Milan Gasko）對此回應，公司高度重視此次泄露事件，正在進行全面調查，但拒絕披露更多信息。加斯科同時表示，任何外部各方并不能找到該數據庫的入口，也沒有有效的工具檢測到是否有人訪問過該數據庫。此聲明暗含數據并未大規模泄露，有推卸責任之意。另外，豐田、通用、大眾、福特、特斯拉等汽車廠商尚未對此次數據泄露事件進行評論。

誰在泄露企業數據？

制造業成為數據泄露的高發領域。近年來，數據泄露事件呈現燎原之勢，零售、社交、金融、制造等行業成為數據泄露的重點領域，其中制造業數據泄露呈現高發態勢。據Verizon發布的數據泄露調查報告顯示，2017年全球針對制造業的數據泄露事件多達620余起，泄露的數據包括行業秘密、商業計劃、知識產權等，其中九成以上的被泄露數據都達到了機密級別，與企業利益緊密相關。目前制造業數字化程度越來越高，傳感器、工業軟件、智能機器人、工業互聯網和工業云等技術日益普及，任何不當管理、安全漏洞和人員疏忽等隱患都會導致數據泄露，給企業造成的損失也將不可估量。

第三方提供商成為數據安全的軟肋。第三方數據服務提供商由于獲得了企業訪問權等權限，不僅加大了企業數據泄露的風險，而且正在成為企業數據泄露的源頭。安全研究公司Ponemon Institute的一項調查研究顯示，2017年56%的受調查企業就遇到過因供應商問題而導致的數據泄露，平均每家公司有470家外部公司可以訪問其敏感數據庫，比2016年的380家增長了約23.7%。當前，很多企業將數據的存儲、分析和處理業務委托給第三方數據服務提供商，但并未與第三方數據服務提供商建立數據訪問權限、數據安全保護流程、數據泄露應急計劃等機制，加上第三方數據服務提供商數據管理不當，導致企業和供應商不能主動發現數據安全漏洞，因此數據泄露一旦發生，往往是被動應付，不能迅速有效的采取措施進行補救。

我國應加快補齊制造強國數據安全保護短板。此次汽車制造產業鏈上下游數據泄露事件為制造強國數據安全保護敲響警鐘。工業大數據在研發設計、生產制造、經營管理、市場營銷、售后服務等產業鏈各環節開始廣泛深度應用，已經成為實施制造強國戰略，加快從制造大國向制造強國邁進的強力引擎。然而，我國數據安全建設滯后了數據應用和制造業轉型升級的步伐，在工業控制系統、工業互聯網、工業數據安全技術手段等多個領域存在短板。必須從政策制定、技術產品研發、管理機制改革等多個方面發力彌補數據安全保護方面的不足，推進制造強國戰略順利實

施。