汽车制造商工业数据泄露不容忽视

马英才 陆峰 安晖

2018 年7 月20 日《纽约时报》报道，大众、克莱斯勒、福特、丰田、通用汽车、特斯拉、蒂森克虏伯等100 多家汽车产业链上下游公司的敏感数据被加拿大汽车供应商Level One 的共同服务器泄露。泄露的数据有公司蓝图规划、工厂图表、制造细节、工作计划、客户资料、保密协议以及包括驾照、护照等信息在内的员工隐私信息，共计157GB，4.7 万份文件。此次事件为制造业在数字化过程中如何保护好数据敲响了警钟。

背景

传统汽车制造业加速数字化转型。当前，全球汽车制造业正迎来深刻变革，数字化技术快速渗透进汽车制造的各个环节，大众、宝马、奔驰、特斯拉等越来越多的汽车制造商主动拥抱互联网、大数据、人工智能等新一代信息技术。宝马汽车公司将工业数字化作为转型的重大机遇，在智能机器人、模拟仿真和工厂数字化、智能物流、智能数据管理等方面全面推进。大众不仅在欧洲推进数字化，在中国的 20 个生产工厂数字化进程也在加快。汽车制造商数字商业模式创新勃发，戴姆勒公司的移动服务注册用户已达到1420 万。同时，传统汽车制造厂商与数据科技公司合作日趋紧密，欧盟、美国、日本等国家和地区的汽车制造商通过投资并购以及与创新型科技公司合作等方式，积极打造数字化生态系统。如亚马逊和宝马、大众和谷歌已经开展跨界合作，提升汽车智能化水平和用户驾乘体验。

汽车制造业曾多次发生数据泄露事件。2015 年以来，汽车产业链上下游就已经发生了多起数据泄露案件。2015 年4 月，白帽子向乌云平台提交名为“东风雪铁龙某后台弱口令可导致全国几百个经销商账号与大量个人数据泄露”的漏洞，通过该漏洞可以查看东风雪铁龙经销商等敏感信息，同时有网友在博客上以1-2 元人民币的价格兜售雪铁龙车主信息，并提供了数据库截图，泄露数据包括车主姓名、手机号码、意向购车型号等，规模超过10 万条。2017 年6 月，汽车制造商讴歌、宝马、克莱斯勒等多家汽车制造商的上千万辆汽车VIN 识别码数据以及相关购买者的个人信息被泄露。12 月，黑客入侵了日产加拿大分部的车辆融资部门，113 万名客户的个人信息被窃取，其中包括客户姓名、地址、车辆制造商和型号、车辆识别号（VIN）、信用评分、贷款金额和每月付款金额等敏感信息。

案例介绍

事件经过。7 月20 日，据《纽约时报》报道，网络安全公司UpGuard 安全研究员发现，来自大众、克莱斯勒、福特、丰田、通用汽车、特斯拉等100 多家汽车制造公司的敏感文件在加拿大汽车供应商Level One 的公共服务器上被曝光。这些数据包括公司蓝图规划、工厂图表、制造细节、工作计划、客户资料、保密协议以及含有驾照、护照、发票、银行账户等在内的员工隐私信息。UpGuard 安全团队在7 月1 日发现了该漏洞，7 月9 日联系Level One，Level One 收到通知后立即关闭了服务器，并在7月10 日修复了漏洞。尽管及时堵住了漏洞，但仍旧有大量隐私数据和敏感资料被泄露。

后续发展。泄露事件發生后，Level One 首席执行官米兰·加斯科（Milan Gasko）对此回应，公司高度重视此次泄露事件，正在进行全面调查，但拒绝披露更多信息。加斯科同时表示，任何外部各方并不能找到该数据库的入口，也没有有效的工具检测到是否有人访问过该数据库。此声明暗含数据并未大规模泄露，有推卸责任之意。另外，丰田、通用、大众、福特、特斯拉等汽车厂商尚未对此次数据泄露事件进行评论。

简评

制造业成为数据泄露的高发领域。近年来，数据泄露事件呈现频发，零售、社交、金融、制造等行业成为数据泄露的重点领域，其中制造业数据泄露呈现高发态势。据Verizon 发布的数据泄露调查报告显示，2017 年全球针对制造业的数据泄露事件多达620 余起，泄露的数据包括行业秘密、商业计划、知识产权等，其中九成以上的被泄露数据都达到了机密级别，与企业利益紧密相关。目前制造业数字化程度越来越高，传感器、工业软件、智能机器人、工业互联网和工业云等技术日益普及，任何不当管理、安全漏洞和人员疏忽等隐患都会导致数据泄露，给企业造成的损失也将不可估量。

第三方提供商成为数据安全的软肋。第三方数据服务提供商由于获得了企业访问权等权限，加大了企业数据泄露的风险，而且正在成为企业数据泄露的源头。安全研究公司 Ponemon Institute 的一项调查研究显示，2017 年56%的受调查企业就遇到过因供应商问题而导致的数据泄露，平均每家公司有 470 家外部公司可以访问其敏感数据库，比2016 年的380 家增长了约23.7%。当前，很多企业将数据的存储、分析和处理业务委托给第三方数据服务提供商，但并未与第三方数据服务商建立数据访问权限、数据安全保护流程、数据泄露应急计划等机制，加上第三方数据服务提供商数据管理不当，导致企业和供应商不能主动发现数据安全漏洞，因此数据泄露一旦发生，往往是被动应付，不能迅速有效采取措施进行补救。

我国应加快补齐制造强国战略数据安全保护短板。此次汽车制造产业链上下游数据泄露事件为制造强国战略数据安全保护敲响警钟。工业大数据在研发设计、生产制造、经营管理、市场营销、售后服务等产业链各环节开始广泛深度应用，已经成为实施制造强国战略，加快从制造大国向制造强国迈进的强力引擎。然而，我国数据安全建设滞后数据应用和制造业转型升级步伐，在工业控制系统、工业互联网、工业数据安全技术手段等多个领域存在短板。必须从政策制定、技术产品研发、管理机制改革等多个方面发力弥补数据安全保护方面的不足，推进制造强国战略顺利实施。