<button id="crlzx"></button>
      1. 財經 房產 娛樂 地方 美食
        首頁 » 汽車

        蔚來數據被盜引行業關注 車企維護數據安全的難點在哪

        2022-12-27 08:44:31 搜狐科技
        A+ A-

        出品 | 搜狐汽車·汽車咖啡館

        作者 | 于文頔


        (資料圖片)

        12月25日,在蔚來NIO DAY 2022上,李斌再次對剛剛發生的數據安全事件做出回應,稱堅決不和犯罪分子妥協,不想開賠付的先河,哪怕公司賠破產了,也不會在這個事情上妥協。

        本月20日,蔚來首席信息安全科學家、信息安全委員會負責人盧龍在官方社區發布聲明稱,蔚來在12月11日收到外部郵件,聲稱擁有蔚來未來內部數據,并以泄露數據勒索225萬美元等額比特幣。

        蔚來被盜取的數據分為公司內部數據和車主數據兩部分。內部數據包括內部員工數據、注冊用戶數據、企業及企業代表聯系人、訂單及退單數據;車主數據包括車主身份證、用戶地址、親密關系、貸款數據。

        這一事件引發全行業共同關注,當下汽車行業數字化轉型如火如荼,智能化轉型加速推進,數據安全的重要性更加突出。

        蔚來并非第一個受此攻擊的企業,國外車企中,豐田、本田、雷諾、日產、通用等知名車企也均遭受過不同類型的數字安全問題,影響生產經營甚至是行車安全。

        豐田今年多次受到相關困擾。今年3月,豐田一家內外飾供應商小島沖壓工業因遭到網絡攻擊發生系統故障,導致豐田的零部件管理系統中斷運行,豐田在日本全境14家工廠、28條生產線不得不停產一天。

        3月中旬,黑客組織 “Pandora”發表聲明稱,已經獲取電裝超過15.7萬份訂購單、郵件和設計圖紙等總共1.4TB的資料,如不按要求支付贖金,將在暗網公布這些數據。對此電裝發言人表示,檢測到其位于德國的子公司曾遭遇過未授權登陸并使用勒索軟件。

        除了車企內部的系統被攻擊,車輛本身被控制的事件也越來越多。今年年初,荷蘭19歲的黑客David Colombo在推特上表示,可以實現對13個國家超過25輛特斯拉的遠程控制,包括解鎖車門、控制窗戶,或者在沒有鑰匙的情況下啟動汽車,并關閉特斯拉的安全系統等。他自稱是在第三方軟件中發現了缺陷,但使用這個軟件的特斯拉車主并不是很多。

        縱觀近年來車企的數據安全事件,主要是關于車企內部系統和車輛本身兩大方面。企業系統中如銷售、生產、采購、內部OA系統、用戶APP數據等各個環節都容易成為被攻擊的對象,車輛本身的控制則多集中在數字鑰匙、信息娛樂系統方面,近兩年通過智能系統控制車輛速度、剎車等影響行車安全的事件也越來越多。

        對企業系統的攻擊不單單存在于車企中,是相對更為普遍的一種網絡攻擊。資深系統安全工程師李君表示,很多初創的互聯網公司也會遇到這種問題。數據安全是一個系統工程,不是某一個環節做好就萬無一失的,需要全流程防護。采集、安全加密傳輸、加密存儲、認證加密等環節都需要有嚴格的管理。

        在某車企做網絡安全相關工作的馬瑞表示,在技術層面,企業可以進行找廠商做滲透測試,進行攻防演習,以提升系統安全性。難點在于,一旦出現安全事件,很難判斷是技術問題還是人為泄密。

        李君稱,像蔚來這次事件,從技術層面想查到是哪里出了問題相對容易,但難以確定是不是有“內鬼”,很難查出內鬼是誰。對蔚來來說,從技術層面上,要先把漏洞補上,數據庫安全排查,復盤數據獲取的整體鏈路,把能加上安全認證的都加上。技術安全是兜底的,安全意識是上層。

        對于內部信任問題,區塊鏈作為一項去中心化、數據難以篡改的技術可以在防“內鬼”上起到一些作用。零數科技創始人林樂表示,可以通過區塊鏈的數字身份系統對數據權限進行分級管理,區塊鏈的追溯功能,能讓數據存儲、調用、使用的行為全程留痕。

        但由于有一定數字化能力的企業都更傾向于自己搭建內部系統,使用區塊鏈相關技術的企業并不多。如企業配合,布置一套系統的成本大約在幾百萬左右。

        在安全意識方面,管理層面的權限設計也十分重要?!案鶕嚓P規定,用戶在系統中展示的信息必須是加密信息,只有高權限的人才可以看到。馬瑞稱,但是在實際操作中大多數企業很難做到。因為硬件加密成本高,而算法加密時間長存儲效率低,安全和效率本身就在一定程度上是相互矛盾的?!?/strong>

        李君也表示,如果內部數據在沒有做好信息安全等級劃分,權限不明的情況下,基層員工知道了秘鑰,直接賣了也是有可能的。因此一些大廠的權限設計會做的更好,審批流更加完善。

        在此次蔚來事件中,泄漏的數據還包括用戶親密關系等信息。這也引起了部分用戶關于“企業應該收集用戶哪些信息”的討論。盡管對智能化車型來說,越了解用戶越能提供更個性化的服務,但部分用戶也對這種“貼心”感到不適,時刻為自己的信息安全而擔憂。

        蔚來在“粉絲營銷”出圈的同時,也意味著蔚來收集了更多的用戶信息。據蔚來官網的隱私政策顯示,當用戶通過蔚來App申請充換電時,會被收集姓名、手機號碼、車輛 VIN 碼、車輛型號、電池信息、車牌號、手機位置、車輛位置等信息。

        而使用APP時用戶也可自愿向其提供性別、興趣愛好、通信地址等信息。此外,APP中還有提交社保、公積金流水、結婚證發、房產證等入口,適用于不同的購車場景。

        當信息信息泄露發生時,用戶才更加關注,買一輛車真的需要提交這么多信息嗎?

        同時,蔚來也提示,部分產品/服務需要第三方的參與才能完成,因此可能會向關聯公司以及第三方服務商或合作伙伴提供用戶部分個人信息。傳輸環節中,有沒有加密傳輸、 第三方數據庫的安全性等等都是風險點。

        有了企業系統安全,車輛本身的安全問題同樣值得關注。當前,車輛一旦聯網就有被遠程控制的風險已經成為行業共識。為提升車輛通信安全,工信部等相關部門已聯合車企組織多次試點、統一標準等工作,如車聯網身份認證和安全信任試點、《基于LTE的車聯網通信安全技術要求》等,目前行業內也有相對通用的車云協同通信證書體系。

        座艙系統及第三方軟件同樣讓黑客攻擊有可乘之機。今年特斯拉被荷蘭黑客控制即通過第三方軟件。國汽智控(北京)科技有限公司創始人尚進曾表示,智能網聯汽車需要車規級的安全產品,必須跟技術軟件相融合。同時,也要關注OTA更新、數據采集及處理的過程。

        亡羊補牢為時不晚。種種數據安全事件給車企再一次敲醒了警鐘,數據收集的尺度、傳輸儲存的安全、人員權限的管理等各個環節,都影響著數據數據安全,進而影響車企的正常運轉及品牌形象。

        數智化時代,車企需要從技術到管理能力的全面提升。

        責任編輯:bH_02360

        關鍵詞: 數據安全 第三方軟件 信息安全

        點擊查看全文(剩余0%)

        相關新聞

        中文版A片在线观看

          <button id="crlzx"></button>