科技日報實習記者 於紫月
數據平臺存在的漏洞是導致此次事件發生的根本原因。近年來,工業數據平臺被曝出的漏洞日益增多,且大量集中在裝備製造、交通、能源等重要領域。一些黑客正是利用這些漏洞,竊取了大量的工業信息。
包括克萊斯勒、福特、特斯拉等全球100家車企的超過47000個機密文件遭外洩,這一被媒體稱為迄今為止最嚴重的工業數據“車禍”於近日發生。
據報道,數據洩露的源頭指向了這些車廠共同的服務器提供商Level One Robotics and Controls(以下簡稱Level One),洩露的數據包括產品設計原理圖、裝配線原理圖、工廠平面圖、採購合同等敏感信息。
“這只是全球近年來頻發的工業信息安全事故的縮影。”7月30日北京理工大學網絡攻防對抗技術研究所所長閆懷志在接受科技日報記者採訪時說,從全球發展趨勢來看,工業互聯網和工業數據日益成為黑客攻擊的重點目標。
那麼,到底誰是這次工業數據洩露事件的罪魁禍首呢?我們又該如何有效防止類似事件的發生呢?
訪問不設限釀“車禍” 平臺漏洞是禍首
“車禍”主角Level One是一家數據管理平臺公司,它主要提供基於客戶原始數據的定製化服務。
“Level One在使用遠程數據同步工具rsync處理數據時,備份服務器沒有限制使用者的IP地址,並且未設置身份驗證等用戶訪問權限,因此任何人都能直接通過rsync訪問備份服務器,這是導致事故發生的主要原因。”7月30日寶沃汽車(上海)有限公司總工程師劉凱在接受科技日報記者採訪時說,“由於業務擴展需要,如今越來越多的第三方公司獲得了車企的訪問權限,車企數據洩露的風險也就隨之增加。”
在閆懷志看來,數據平臺存在的漏洞是導致此次事件發生的根本原因。“近年來,工業數據平臺被曝出的漏洞日益增多,尤其是工業控制系統內的安全漏洞層出不窮,且大量集中在裝備製造、交通、能源等重要領域,嚴重威脅國家信息基礎設施安全。一些黑客正是利用這些漏洞,竊取了大量的工業敏感信息。”閆懷志說。
自2015年以來,全球每年發生的工業信息安全事件接近300起,工業領域已成為網絡攻擊“重災區”。
國家工業信息安全發展研究中心監測數據結果顯示,我國3000餘個暴露在互聯網上的工業控制系統,95%以上都存在漏洞,可輕易被遠程控制,約20%的重要工控系統可被遠程入侵併完全接管。
“目前很多工業系統和設備沒有防護軟件,也未安裝殺毒系統,一旦上了網就基本處於‘裸奔’狀態。”一位業內人士表示,目前我國一些通信、能源、水利、電力等關鍵基礎設施存在著較大的安全風險,而入侵和控制工業信息系統也已成為商業上打壓競爭對手的不法手段。
企業安全意識薄弱 相關人才儲備匱乏
“目前,我國很多地區、部門、工業企業對工業數據安全重視不夠,重發展輕安全,不重視漏洞、修復不及時等現象普遍存在。”閆懷志說。
據360補天漏洞響應平臺統計,在其涵蓋的工業相關信息系統漏洞中,25.6%的漏洞未進行修復,一些漏洞的平均修復時間長達數月之久。
我國對工業信息領域安全的認識還處在初級階段。2017年5月“Wanna Cry”勒索病毒事件暴發,微軟在當年3月就發佈了相應的安全漏洞補丁,但我國很多單位一直由於未及時打補丁,導致近30萬臺主機和電腦被感染。
直到今年,360公司還能監測到每天有近千臺電腦感染此勒索病毒。
在企業中,因私人行為導致設備感染病毒的情況也較為多見。例如,個人通過工控設備違規上網,或是廠商的維護人員電腦感染病毒後造成設備系統全網感染等。
此外,我國工業企業目前的防護技術還較為落後。國家工業信息安全發展研究中心通過安全監測發現,工業企業信息安全應急備災手段不足,約70%的被調查企業缺少完善的應災備災體系。
防護技術之外,我國在工業信息領域的核心產品自主可控度也較低。
國家工業信息安全產業發展聯盟發佈的《2017年工業信息安全態勢白皮書》顯示,國產數據庫僅佔據7%的低端市場,大量工控系統由外國廠商提供運行維護。我國部分企業不具備自主維護能力,而且缺乏對外國產品和服務的監管。
同時,人才匱乏也是導致工業信息安全技術薄弱的原因之一。“公共信息安全人才需掌握自動化和網絡安全兩個學科的知識和技能,這類人才缺口巨大。但目前在高校中尚沒有設立工業信息安全領域碩士、博士的培養方向,工業信息安全從業人員幾乎都是在實踐中學習。”閆懷志說。
築防線需多方合力 可借鑑歐盟做法
“工業大數據的共享是工業互聯網應用的基礎和靈魂,而工業數據安全及隱私保護又是一切應用的前提。”閆懷志建議,要想給工業信息構築起一道“防線”,首先企業應樹立信息安全與隱私保護意識。
閆懷志介紹,傳統IT網絡中的隱私規範,主要應用“告知與許可”原則,由信息所有者自行決定可否、如何且由誰來處理或利用其信息,信息隱私保護的責任方為信息所有者。在工業大數據和工業互聯網領域,工業數據需要被多次使用,傳統的“告知與許可”隱私保護機制不具備現實可行性,工業數據信息隱私保護的責任將由數據使用方來承擔。這種方式下可採用的保護手段包括數據分類分級和數據脫敏等。
此外,掌握大量工業信息的數據平臺也應肩負起管理的責任。“此前我國網絡安全與信息平臺監管主體不清晰,多頭監管問題突出,信息系統平臺安全監管不力甚至監管缺失的情況時有發生,特別是在工業互聯網和工業數據安全保護方面表現得更為突出。”閆懷志表示,“平臺應不斷完善數據隱私保護以及網絡安全策略,成立數據安全與隱私保護的專門負責機構或組織。”
360集團董事長兼CEO周鴻禕也強調了漏洞管理的問題。他認為,應建立漏洞管理全流程監督處罰制度,制定覆蓋網絡安全漏洞的發現、審核、披露、通報、修復、追責等全流程管理細則,強制要求漏洞必須及時修復,對漏洞修復時間以及違規處罰措施予以明確規定。此外,應建立監督檢查機制和力量,及時發現未及時修復漏洞,追究相關單位和責任人責任。
中國政法大學法學院大數據和人工智能法律研究中心主任汪慶華教授則從立法角度給出了建議。他對科技日報記者說,我國在網絡安全和信息保護方面的立法呈現出分散式立法、多頭式監管的特點。目前,我國已經初步建立起了以《網絡安全法》為中心的分散式信息保護和數據安全方面的法律體系,未來還需進一步加強相關立法工作。
在政府監管方面上,閆懷志認為,我國可參考借鑑歐盟出臺《通用數據保護條例》(GDPR)的做法,提高對信息非法獲取的懲戒力度。
“GDPR是與當前網絡空間現狀最為契合的數據保護條例,要求手握數據的企業和機構設立專門的數據保護官員來負責數據管理。我國也可適當借鑑,要求企業和機構設立類似職位。此外,GDPR不僅倒逼中國企業更加重視數據安全和隱私保護,而且也為中國數據安全工作提供了一種思路——中國也可以制定類似條例來維護我國企業和公民個人的數據安全,防止國內外機構非法濫用。特別是在工業互聯網和工業數據安全保護方面,有針對性的制度已成為燃眉之急。”閆懷志說。
閱讀更多 科技日報 的文章
