12月25日,在蔚来,NIODAY2022年,李斌再次回应了刚刚发生的数据安全事件,称自己决心不与罪犯妥协,也不想出赔偿的例子。即使公司破产,也不会妥协。
12月11日,威来首席信息安全科学家、信息安全委员会主任卢龙在官方社区发表声明称,威来于12月11日收到一封外部电子邮件,声称拥有威来内部数据,并勒索225万美元泄露数据BTC。
魏来窃取的数据分为公司内部数据和业主数据。内部数据包括内部员工数据、注册用户数据、业务代表联系人、订单和退款数据;业主数据包括业主身份证、客户地址、亲密关系和贷款数据。
这一事件引起了整个行业的讨论。目前,汽车行业数字化转型蓬勃发展,智能化转型加快,数据安全的重要性更加突出。
蔚来并不是第一家受到攻击的公司。丰田、本田、雷诺、日产、通用等知名汽车公司也遭受了不同类型的数字安全问题,影响了生产经营甚至安全驾驶。
丰田今年多次受到困扰。今年3月,由于黑客入侵系统异常,丰田零部件管理系统中断,丰田一家内外装修供应商岛冲压行业。丰田在日本有14家工厂,28条生产线不得不停工一天。
三月中旬,黑客组织“Pandora”声明称已获得15.7万份电装订单,共15.7万份电子邮件和设计图纸.4TB如果赎金不按要求支付,这些信息将在黑暗网络上公布。该发言人表示,他发现他在德国的分公司遭遇了未经授权的登录和使用勒索病毒。
荷兰黑客DavidColombo:特斯拉车主不多
除了对汽车公司内部系统的攻击外,还有越来越多的事件控制着汽车本身。今年年初,19岁的荷兰黑客DavidColombo他在推特上说,他可以远程控制13个国家的25多个特斯拉,包括解锁门和控制窗户,或者在没有钥匙的情况下启动汽车并关闭特斯拉的安全系统。他声称在第三方软件中发现了缺陷,但特斯拉车主并不多。
纵观近年来汽车公司的数据安全事件,通常是关于汽车公司的内部系统和车辆本身。销售、生产、采购、内部等企业系统OA系统,客户APP数据和其他链接很容易成为攻击的对象,而车辆本身的控制主要集中在数字钥匙和信息娱乐系统上。在过去两年中,越来越多的事件通过智能系统控制汽车的速度和制动。
对企业系统的攻击不仅存在于汽车公司中,也是一种相对较为常见的黑客攻击。高级系统安全工程师李军说,许多初创互联网公司也会遇到这样的问题。数据安全是一个系统工程,在某个阶段做得不好,需要全过程保护。必须严格管理采集、安全数据加密、加密存储、认证加密等环节。
马瑞在一家汽车公司从事网络安全工作,他说,在技术层面,该公司可以找到制造商进行渗透测试和攻击和防御演习,以提高系统安全。困难在于,一旦发生安全事故,很难判断是技术问题还是人为泄露。
李军说,像蔚来这样的事件相对容易从技术层面找出问题在哪里,但很难确定是否有问题“内鬼”很难找出内鬼是谁。对于威莱来说,从技术层面来说,首先要填补漏洞,对数据库进行安全调查,审查数据获取的整体链接,添加所有可以添加安全验证的链接。技术安全是底层,安全意识是上层。
对于内部信任问题,区块链作为一种分散的技术,可以防止数据篡改“内鬼”它起着一些作用。零数字技术创始人林乐表示,数据权限可以通过区块链的数字身份系统进行分类管理。区块链的可追溯性功能可以在整个数据存储、呼叫和使用过程中留下痕迹。
但是由于具有一定数字能力的企业更倾向于建立自己的内部系统,很少有企业使用区块链相关技术。如果公司合作,布局一个系统的成本大约是数百万。
在安全意识方面,权限设计的管理也非常重要。“根据有关规定,只有高权限的人才能看到客户在设备中显示的信息。马瑞说,但大多数公司在实践中都很难做到。由于硬件加密成本高,算法加密时间长,存储效率低,可靠性和效率在一定程度上相互矛盾。”
李军还表示,如果内部数据没有做好信息安全等级划分,权限不明确,基层员工就有可能知道钥匙,直接销售。因此,一些大型工厂的权限设计将做得更好,审批流程将更加完善。
公司应该收集哪些信息?
在蔚来事件中,泄露的数据还包括客户亲密关系等信息。这也引起了一些用户关于用户的关注。“公司应该收集哪些信息?”讨论。虽然对于智能车型来说,了解的客户越多,提供的服务就越个性化,但也有客户对这种服务了如指掌。“贴心”感到不舒服,总是担心自己的信息安全。
蔚来在“粉丝营销”在走红的同时,也意味着威来收集了更多的用户信息。根据威来官网的隐私政策,用户威来时,App申请充电换电时,会收集名称、手机号码、车辆VIN代码、型号、电池信息、车牌号、手机位置、车辆位置等信息。
而采用APP客户还可以自愿提供性别、爱好、通讯地址等信息。APP还有提交社保、公积金流水、结婚证、房产证等入口,适用于不同的购车场景。
当信息泄露发生时,客户会更加关注,买车真的需要提供这么多信息吗?
同时,蔚来还建议,部分商品/服务需要第三方参与,因此部分客户的个人信息可以提供给相关企业、第三方服务提供商或合作伙伴。在传输过程中,是否存在数据加密、第三方数据库安全等都是风险点。
随着公司系统的安全,车辆本身的安全也值得关注。目前,一旦车辆接入互联网,远程操作的风险已成为行业共识。为提高车辆通信安全,工业和信息化部等相关部门与车辆公司合作,组织了多项试点和统一车辆互联网身份认证、安全信任等LTE车联网通信安全技术标准等,目前行业内有相对通用的车云协同通信证书体系。
驾驶舱系统和第三方软件也给了黑客入侵的机会。特斯拉今年通过第三方软件被荷兰黑客控制。国家汽车智能控制(北京)科技有限公司创始人尚金曾表示,智能网络汽车需要汽车级别的安全产品,必须与技术软件集成。还要注意OTA更新、数据采集和处理过程。
为时已晚。各种数据安全事件再次给汽车企业敲响了警钟。数据采集规模、传输存储安全、人员权限管理等环节影响了数据数据安全,影响了汽车公司的正常运营和品牌形象。
在数字智能时代,汽车企业必须从技术到管理水平全面提高。
