馬英才 陸峰 安暉

2018 年7 月20 日《紐約時報》報道，大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉、蒂森克虜伯等100 多家汽車產(chǎn)業(yè)鏈上下游公司的敏感數(shù)據(jù)被加拿大汽車供應(yīng)商Level One 的共同服務(wù)器泄露。泄露的數(shù)據(jù)有公司藍圖規(guī)劃、工廠圖表、制造細節(jié)、工作計劃、客戶資料、保密協(xié)議以及包括駕照、護照等信息在內(nèi)的員工隱私信息，共計157GB，4.7 萬份文件。此次事件為制造業(yè)在數(shù)字化過程中如何保護好數(shù)據(jù)敲響了警鐘。

背景

傳統(tǒng)汽車制造業(yè)加速數(shù)字化轉(zhuǎn)型。當(dāng)前，全球汽車制造業(yè)正迎來深刻變革，數(shù)字化技術(shù)快速滲透進汽車制造的各個環(huán)節(jié)，大眾、寶馬、奔馳、特斯拉等越來越多的汽車制造商主動擁抱互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新一代信息技術(shù)。寶馬汽車公司將工業(yè)數(shù)字化作為轉(zhuǎn)型的重大機遇，在智能機器人、模擬仿真和工廠數(shù)字化、智能物流、智能數(shù)據(jù)管理等方面全面推進。大眾不僅在歐洲推進數(shù)字化，在中國的 20 個生產(chǎn)工廠數(shù)字化進程也在加快。汽車制造商數(shù)字商業(yè)模式創(chuàng)新勃發(fā)，戴姆勒公司的移動服務(wù)注冊用戶已達到1420 萬。同時，傳統(tǒng)汽車制造廠商與數(shù)據(jù)科技公司合作日趨緊密，歐盟、美國、日本等國家和地區(qū)的汽車制造商通過投資并購以及與創(chuàng)新型科技公司合作等方式，積極打造數(shù)字化生態(tài)系統(tǒng)。如亞馬遜和寶馬、大眾和谷歌已經(jīng)開展跨界合作，提升汽車智能化水平和用戶駕乘體驗。

汽車制造業(yè)曾多次發(fā)生數(shù)據(jù)泄露事件。2015 年以來，汽車產(chǎn)業(yè)鏈上下游就已經(jīng)發(fā)生了多起數(shù)據(jù)泄露案件。2015 年4 月，白帽子向烏云平臺提交名為“東風(fēng)雪鐵龍某后臺弱口令可導(dǎo)致全國幾百個經(jīng)銷商賬號與大量個人數(shù)據(jù)泄露”的漏洞，通過該漏洞可以查看東風(fēng)雪鐵龍經(jīng)銷商等敏感信息，同時有網(wǎng)友在博客上以1-2 元人民幣的價格兜售雪鐵龍車主信息，并提供了數(shù)據(jù)庫截圖，泄露數(shù)據(jù)包括車主姓名、手機號碼、意向購車型號等，規(guī)模超過10 萬條。2017 年6 月，汽車制造商謳歌、寶馬、克萊斯勒等多家汽車制造商的上千萬輛汽車VIN 識別碼數(shù)據(jù)以及相關(guān)購買者的個人信息被泄露。12 月，黑客入侵了日產(chǎn)加拿大分部的車輛融資部門，113 萬名客戶的個人信息被竊取，其中包括客戶姓名、地址、車輛制造商和型號、車輛識別號（VIN）、信用評分、貸款金額和每月付款金額等敏感信息。

案例介紹

事件經(jīng)過。7 月20 日，據(jù)《紐約時報》報道，網(wǎng)絡(luò)安全公司UpGuard 安全研究員發(fā)現(xiàn)，來自大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉等100 多家汽車制造公司的敏感文件在加拿大汽車供應(yīng)商Level One 的公共服務(wù)器上被曝光。這些數(shù)據(jù)包括公司藍圖規(guī)劃、工廠圖表、制造細節(jié)、工作計劃、客戶資料、保密協(xié)議以及含有駕照、護照、發(fā)票、銀行賬戶等在內(nèi)的員工隱私信息。UpGuard 安全團隊在7 月1 日發(fā)現(xiàn)了該漏洞，7 月9 日聯(lián)系Level One，Level One 收到通知后立即關(guān)閉了服務(wù)器，并在7月10 日修復(fù)了漏洞。盡管及時堵住了漏洞，但仍舊有大量隱私數(shù)據(jù)和敏感資料被泄露。

后續(xù)發(fā)展。泄露事件發(fā)生后，Level One 首席執(zhí)行官米蘭·加斯科（Milan Gasko）對此回應(yīng)，公司高度重視此次泄露事件，正在進行全面調(diào)查，但拒絕披露更多信息。加斯科同時表示，任何外部各方并不能找到該數(shù)據(jù)庫的入口，也沒有有效的工具檢測到是否有人訪問過該數(shù)據(jù)庫。此聲明暗含數(shù)據(jù)并未大規(guī)模泄露，有推卸責(zé)任之意。另外，豐田、通用、大眾、福特、特斯拉等汽車廠商尚未對此次數(shù)據(jù)泄露事件進行評論。

簡評

制造業(yè)成為數(shù)據(jù)泄露的高發(fā)領(lǐng)域。近年來，數(shù)據(jù)泄露事件呈現(xiàn)頻發(fā)，零售、社交、金融、制造等行業(yè)成為數(shù)據(jù)泄露的重點領(lǐng)域，其中制造業(yè)數(shù)據(jù)泄露呈現(xiàn)高發(fā)態(tài)勢。據(jù)Verizon 發(fā)布的數(shù)據(jù)泄露調(diào)查報告顯示，2017 年全球針對制造業(yè)的數(shù)據(jù)泄露事件多達620 余起，泄露的數(shù)據(jù)包括行業(yè)秘密、商業(yè)計劃、知識產(chǎn)權(quán)等，其中九成以上的被泄露數(shù)據(jù)都達到了機密級別，與企業(yè)利益緊密相關(guān)。目前制造業(yè)數(shù)字化程度越來越高，傳感器、工業(yè)軟件、智能機器人、工業(yè)互聯(lián)網(wǎng)和工業(yè)云等技術(shù)日益普及，任何不當(dāng)管理、安全漏洞和人員疏忽等隱患都會導(dǎo)致數(shù)據(jù)泄露，給企業(yè)造成的損失也將不可估量。

第三方提供商成為數(shù)據(jù)安全的軟肋。第三方數(shù)據(jù)服務(wù)提供商由于獲得了企業(yè)訪問權(quán)等權(quán)限，加大了企業(yè)數(shù)據(jù)泄露的風(fēng)險，而且正在成為企業(yè)數(shù)據(jù)泄露的源頭。安全研究公司 Ponemon Institute 的一項調(diào)查研究顯示，2017 年56%的受調(diào)查企業(yè)就遇到過因供應(yīng)商問題而導(dǎo)致的數(shù)據(jù)泄露，平均每家公司有 470 家外部公司可以訪問其敏感數(shù)據(jù)庫，比2016 年的380 家增長了約23.7%。當(dāng)前，很多企業(yè)將數(shù)據(jù)的存儲、分析和處理業(yè)務(wù)委托給第三方數(shù)據(jù)服務(wù)提供商，但并未與第三方數(shù)據(jù)服務(wù)商建立數(shù)據(jù)訪問權(quán)限、數(shù)據(jù)安全保護流程、數(shù)據(jù)泄露應(yīng)急計劃等機制，加上第三方數(shù)據(jù)服務(wù)提供商數(shù)據(jù)管理不當(dāng)，導(dǎo)致企業(yè)和供應(yīng)商不能主動發(fā)現(xiàn)數(shù)據(jù)安全漏洞，因此數(shù)據(jù)泄露一旦發(fā)生，往往是被動應(yīng)付，不能迅速有效采取措施進行補救。

我國應(yīng)加快補齊制造強國戰(zhàn)略數(shù)據(jù)安全保護短板。此次汽車制造產(chǎn)業(yè)鏈上下游數(shù)據(jù)泄露事件為制造強國戰(zhàn)略數(shù)據(jù)安全保護敲響警鐘。工業(yè)大數(shù)據(jù)在研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、市場營銷、售后服務(wù)等產(chǎn)業(yè)鏈各環(huán)節(jié)開始廣泛深度應(yīng)用，已經(jīng)成為實施制造強國戰(zhàn)略，加快從制造大國向制造強國邁進的強力引擎。然而，我國數(shù)據(jù)安全建設(shè)滯后數(shù)據(jù)應(yīng)用和制造業(yè)轉(zhuǎn)型升級步伐，在工業(yè)控制系統(tǒng)、工業(yè)互聯(lián)網(wǎng)、工業(yè)數(shù)據(jù)安全技術(shù)手段等多個領(lǐng)域存在短板。必須從政策制定、技術(shù)產(chǎn)品研發(fā)、管理機制改革等多個方面發(fā)力彌補數(shù)據(jù)安全保護方面的不足，推進制造強國戰(zhàn)略順利實施。