首页 » 汽车

蔚来数据被盗引行业关注 车企维护数据安全的难点在哪

2022-12-27 08:44:31 搜狐科技
A+ A-

出品 | 搜狐汽车·汽车咖啡馆

作者 | 于文頔


(资料图片)

12月25日,在蔚来NIO DAY 2022上,李斌再次对刚刚发生的数据安全事件做出回应,称坚决不和犯罪分子妥协,不想开赔付的先河,哪怕公司赔破产了,也不会在这个事情上妥协。

本月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在官方社区发布声明称,蔚来在12月11日收到外部邮件,声称拥有蔚来未来内部数据,并以泄露数据勒索225万美元等额比特币。

蔚来被盗取的数据分为公司内部数据和车主数据两部分。内部数据包括内部员工数据、注册用户数据、企业及企业代表联系人、订单及退单数据;车主数据包括车主身份证、用户地址、亲密关系、贷款数据。

这一事件引发全行业共同关注,当下汽车行业数字化转型如火如荼,智能化转型加速推进,数据安全的重要性更加突出。

蔚来并非第一个受此攻击的企业,国外车企中,丰田、本田、雷诺、日产、通用等知名车企也均遭受过不同类型的数字安全问题,影响生产经营甚至是行车安全。

丰田今年多次受到相关困扰。今年3月,丰田一家内外饰供应商小岛冲压工业因遭到网络攻击发生系统故障,导致丰田的零部件管理系统中断运行,丰田在日本全境14家工厂、28条生产线不得不停产一天。

3月中旬,黑客组织 “Pandora”发表声明称,已经获取电装超过15.7万份订购单、邮件和设计图纸等总共1.4TB的资料,如不按要求支付赎金,将在暗网公布这些数据。对此电装发言人表示,检测到其位于德国的子公司曾遭遇过未授权登陆并使用勒索软件。

除了车企内部的系统被攻击,车辆本身被控制的事件也越来越多。今年年初,荷兰19岁的黑客David Colombo在推特上表示,可以实现对13个国家超过25辆特斯拉的远程控制,包括解锁车门、控制窗户,或者在没有钥匙的情况下启动汽车,并关闭特斯拉的安全系统等。他自称是在第三方软件中发现了缺陷,但使用这个软件的特斯拉车主并不是很多。

纵观近年来车企的数据安全事件,主要是关于车企内部系统和车辆本身两大方面。企业系统中如销售、生产、采购、内部OA系统、用户APP数据等各个环节都容易成为被攻击的对象,车辆本身的控制则多集中在数字钥匙、信息娱乐系统方面,近两年通过智能系统控制车辆速度、刹车等影响行车安全的事件也越来越多。

对企业系统的攻击不单单存在于车企中,是相对更为普遍的一种网络攻击。资深系统安全工程师李君表示,很多初创的互联网公司也会遇到这种问题。数据安全是一个系统工程,不是某一个环节做好就万无一失的,需要全流程防护。采集、安全加密传输、加密存储、认证加密等环节都需要有严格的管理。

在某车企做网络安全相关工作的马瑞表示,在技术层面,企业可以进行找厂商做渗透测试,进行攻防演习,以提升系统安全性。难点在于,一旦出现安全事件,很难判断是技术问题还是人为泄密。

李君称,像蔚来这次事件,从技术层面想查到是哪里出了问题相对容易,但难以确定是不是有“内鬼”,很难查出内鬼是谁。对蔚来来说,从技术层面上,要先把漏洞补上,数据库安全排查,复盘数据获取的整体链路,把能加上安全认证的都加上。技术安全是兜底的,安全意识是上层。

对于内部信任问题,区块链作为一项去中心化、数据难以篡改的技术可以在防“内鬼”上起到一些作用。零数科技创始人林乐表示,可以通过区块链的数字身份系统对数据权限进行分级管理,区块链的追溯功能,能让数据存储、调用、使用的行为全程留痕。

但由于有一定数字化能力的企业都更倾向于自己搭建内部系统,使用区块链相关技术的企业并不多。如企业配合,布置一套系统的成本大约在几百万左右。

在安全意识方面,管理层面的权限设计也十分重要。“根据相关规定,用户在系统中展示的信息必须是加密信息,只有高权限的人才可以看到。马瑞称,但是在实际操作中大多数企业很难做到。因为硬件加密成本高,而算法加密时间长存储效率低,安全和效率本身就在一定程度上是相互矛盾的。”

李君也表示,如果内部数据在没有做好信息安全等级划分,权限不明的情况下,基层员工知道了秘钥,直接卖了也是有可能的。因此一些大厂的权限设计会做的更好,审批流更加完善。

在此次蔚来事件中,泄漏的数据还包括用户亲密关系等信息。这也引起了部分用户关于“企业应该收集用户哪些信息”的讨论。尽管对智能化车型来说,越了解用户越能提供更个性化的服务,但部分用户也对这种“贴心”感到不适,时刻为自己的信息安全而担忧。

蔚来在“粉丝营销”出圈的同时,也意味着蔚来收集了更多的用户信息。据蔚来官网的隐私政策显示,当用户通过蔚来App申请充换电时,会被收集姓名、手机号码、车辆 VIN 码、车辆型号、电池信息、车牌号、手机位置、车辆位置等信息。

而使用APP时用户也可自愿向其提供性别、兴趣爱好、通信地址等信息。此外,APP中还有提交社保、公积金流水、结婚证发、房产证等入口,适用于不同的购车场景。

当信息信息泄露发生时,用户才更加关注,买一辆车真的需要提交这么多信息吗?

同时,蔚来也提示,部分产品/服务需要第三方的参与才能完成,因此可能会向关联公司以及第三方服务商或合作伙伴提供用户部分个人信息。传输环节中,有没有加密传输、 第三方数据库的安全性等等都是风险点。

有了企业系统安全,车辆本身的安全问题同样值得关注。当前,车辆一旦联网就有被远程控制的风险已经成为行业共识。为提升车辆通信安全,工信部等相关部门已联合车企组织多次试点、统一标准等工作,如车联网身份认证和安全信任试点、《基于LTE的车联网通信安全技术要求》等,目前行业内也有相对通用的车云协同通信证书体系。

座舱系统及第三方软件同样让黑客攻击有可乘之机。今年特斯拉被荷兰黑客控制即通过第三方软件。国汽智控(北京)科技有限公司创始人尚进曾表示,智能网联汽车需要车规级的安全产品,必须跟技术软件相融合。同时,也要关注OTA更新、数据采集及处理的过程。

亡羊补牢为时不晚。种种数据安全事件给车企再一次敲醒了警钟,数据收集的尺度、传输储存的安全、人员权限的管理等各个环节,都影响着数据数据安全,进而影响车企的正常运转及品牌形象。

数智化时代,车企需要从技术到管理能力的全面提升。

责任编辑:bH_02360

关键词: 数据安全 第三方软件 信息安全

点击查看全文(剩余0%)

相关新闻