汽車制造商工業(yè)數據泄露不容忽視

馬英才 陸峰 安暉

2018 年7 月20 日《紐約時報》報道，大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉、蒂森克虜伯等100 多家汽車產業(yè)鏈上下游公司的敏感數據被加拿大汽車供應商Level One 的共同服務器泄露。泄露的數據有公司藍圖規(guī)劃、工廠圖表、制造細節(jié)、工作計劃、客戶資料、保密協(xié)議以及包括駕照、護照等信息在內的員工隱私信息，共計157GB，4.7 萬份文件。此次事件為制造業(yè)在數字化過程中如何保護好數據敲響了警鐘。

背景

傳統(tǒng)汽車制造業(yè)加速數字化轉型。當前，全球汽車制造業(yè)正迎來深刻變革，數字化技術快速滲透進汽車制造的各個環(huán)節(jié)，大眾、寶馬、奔馳、特斯拉等越來越多的汽車制造商主動擁抱互聯網、大數據、人工智能等新一代信息技術。寶馬汽車公司將工業(yè)數字化作為轉型的重大機遇，在智能機器人、模擬仿真和工廠數字化、智能物流、智能數據管理等方面全面推進。大眾不僅在歐洲推進數字化，在中國的 20 個生產工廠數字化進程也在加快。汽車制造商數字商業(yè)模式創(chuàng)新勃發(fā)，戴姆勒公司的移動服務注冊用戶已達到1420 萬。同時，傳統(tǒng)汽車制造廠商與數據科技公司合作日趨緊密，歐盟、美國、日本等國家和地區(qū)的汽車制造商通過投資并購以及與創(chuàng)新型科技公司合作等方式，積極打造數字化生態(tài)系統(tǒng)。如亞馬遜和寶馬、大眾和谷歌已經開展跨界合作，提升汽車智能化水平和用戶駕乘體驗。

汽車制造業(yè)曾多次發(fā)生數據泄露事件。2015 年以來，汽車產業(yè)鏈上下游就已經發(fā)生了多起數據泄露案件。2015 年4 月，白帽子向烏云平臺提交名為“東風雪鐵龍某后臺弱口令可導致全國幾百個經銷商賬號與大量個人數據泄露”的漏洞，通過該漏洞可以查看東風雪鐵龍經銷商等敏感信息，同時有網友在博客上以1-2 元人民幣的價格兜售雪鐵龍車主信息，并提供了數據庫截圖，泄露數據包括車主姓名、手機號碼、意向購車型號等，規(guī)模超過10 萬條。2017 年6 月，汽車制造商謳歌、寶馬、克萊斯勒等多家汽車制造商的上千萬輛汽車VIN 識別碼數據以及相關購買者的個人信息被泄露。12 月，黑客入侵了日產加拿大分部的車輛融資部門，113 萬名客戶的個人信息被竊取，其中包括客戶姓名、地址、車輛制造商和型號、車輛識別號（VIN）、信用評分、貸款金額和每月付款金額等敏感信息。

案例介紹

事件經過。7 月20 日，據《紐約時報》報道，網絡安全公司UpGuard 安全研究員發(fā)現，來自大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉等100 多家汽車制造公司的敏感文件在加拿大汽車供應商Level One 的公共服務器上被曝光。這些數據包括公司藍圖規(guī)劃、工廠圖表、制造細節(jié)、工作計劃、客戶資料、保密協(xié)議以及含有駕照、護照、發(fā)票、銀行賬戶等在內的員工隱私信息。UpGuard 安全團隊在7 月1 日發(fā)現了該漏洞，7 月9 日聯系Level One，Level One 收到通知后立即關閉了服務器，并在7月10 日修復了漏洞。盡管及時堵住了漏洞，但仍舊有大量隱私數據和敏感資料被泄露。

后續(xù)發(fā)展。泄露事件發(fā)生后，Level One 首席執(zhí)行官米蘭·加斯科（Milan Gasko）對此回應，公司高度重視此次泄露事件，正在進行全面調查，但拒絕披露更多信息。加斯科同時表示，任何外部各方并不能找到該數據庫的入口，也沒有有效的工具檢測到是否有人訪問過該數據庫。此聲明暗含數據并未大規(guī)模泄露，有推卸責任之意。另外，豐田、通用、大眾、福特、特斯拉等汽車廠商尚未對此次數據泄露事件進行評論。

簡評

制造業(yè)成為數據泄露的高發(fā)領域。近年來，數據泄露事件呈現頻發(fā)，零售、社交、金融、制造等行業(yè)成為數據泄露的重點領域，其中制造業(yè)數據泄露呈現高發(fā)態(tài)勢。據Verizon 發(fā)布的數據泄露調查報告顯示，2017 年全球針對制造業(yè)的數據泄露事件多達620 余起，泄露的數據包括行業(yè)秘密、商業(yè)計劃、知識產權等，其中九成以上的被泄露數據都達到了機密級別，與企業(yè)利益緊密相關。目前制造業(yè)數字化程度越來越高，傳感器、工業(yè)軟件、智能機器人、工業(yè)互聯網和工業(yè)云等技術日益普及，任何不當管理、安全漏洞和人員疏忽等隱患都會導致數據泄露，給企業(yè)造成的損失也將不可估量。

第三方提供商成為數據安全的軟肋。第三方數據服務提供商由于獲得了企業(yè)訪問權等權限，加大了企業(yè)數據泄露的風險，而且正在成為企業(yè)數據泄露的源頭。安全研究公司 Ponemon Institute 的一項調查研究顯示，2017 年56%的受調查企業(yè)就遇到過因供應商問題而導致的數據泄露，平均每家公司有 470 家外部公司可以訪問其敏感數據庫，比2016 年的380 家增長了約23.7%。當前，很多企業(yè)將數據的存儲、分析和處理業(yè)務委托給第三方數據服務提供商，但并未與第三方數據服務商建立數據訪問權限、數據安全保護流程、數據泄露應急計劃等機制，加上第三方數據服務提供商數據管理不當，導致企業(yè)和供應商不能主動發(fā)現數據安全漏洞，因此數據泄露一旦發(fā)生，往往是被動應付，不能迅速有效采取措施進行補救。

我國應加快補齊制造強國戰(zhàn)略數據安全保護短板。此次汽車制造產業(yè)鏈上下游數據泄露事件為制造強國戰(zhàn)略數據安全保護敲響警鐘。工業(yè)大數據在研發(fā)設計、生產制造、經營管理、市場營銷、售后服務等產業(yè)鏈各環(huán)節(jié)開始廣泛深度應用，已經成為實施制造強國戰(zhàn)略，加快從制造大國向制造強國邁進的強力引擎。然而，我國數據安全建設滯后數據應用和制造業(yè)轉型升級步伐，在工業(yè)控制系統(tǒng)、工業(yè)互聯網、工業(yè)數據安全技術手段等多個領域存在短板。必須從政策制定、技術產品研發(fā)、管理機制改革等多個方面發(fā)力彌補數據安全保護方面的不足，推進制造強國戰(zhàn)略順利實施。