數(shù)據(jù)平臺存在的漏洞是導致此次事件發(fā)生的根本原因��。近年來���,工業(yè)數(shù)據(jù)平臺被曝出的漏洞日益增多,且大量集中在裝備制造�、交通、能源等重要領域�����。一些黑客正是利用這些漏洞����,竊取了大量的工業(yè)信息。
包括克萊斯勒����、福特、特斯拉等全球100家車企的超過47000個機密文件遭外泄����,這一被媒體稱為迄今為止最嚴重的工業(yè)數(shù)據(jù)“車禍”于近日發(fā)生���。
據(jù)報道,數(shù)據(jù)泄露的源頭指向了這些車廠共同的服務器提供商Level One Robotics and Controls(以下簡稱Level One)����,泄露的數(shù)據(jù)包括產(chǎn)品設計原理圖、裝配線原理圖��、工廠平面圖�����、采購合同等敏感信息�����。
“這只是全球近年來頻發(fā)的工業(yè)信息安全事故的縮影�����。”7月30日北京理工大學網(wǎng)絡攻防對抗技術研究所所長閆懷志在接受科技日報記者采訪時說��,從全球發(fā)展趨勢來看�����,工業(yè)互聯(lián)網(wǎng)和工業(yè)數(shù)據(jù)日益成為黑客攻擊的重點目標�����。
那么�����,到底誰是這次工業(yè)數(shù)據(jù)泄露事件的罪魁禍首呢?我們又該如何有效防止類似事件的發(fā)生呢?
訪問不設限釀“車禍” 平臺漏洞是禍首
“車禍”主角Level One是一家數(shù)據(jù)管理平臺公司���,它主要提供基于客戶原始數(shù)據(jù)的定制化服務�����。
“Level One在使用遠程數(shù)據(jù)同步工具rsync處理數(shù)據(jù)時��,備份服務器沒有限制使用者的IP地址���,并且未設置身份驗證等用戶訪問權限,因此任何人都能直接通過rsync訪問備份服務器����,這是導致事故發(fā)生的主要原因。”7月30日寶沃汽車(上海)有限公司總工程師劉凱在接受科技日報記者采訪時說�,“由于業(yè)務擴展需要��,如今越來越多的第三方公司獲得了車企的訪問權限����,車企數(shù)據(jù)泄露的風險也就隨之增加�����。”
在閆懷志看來���,數(shù)據(jù)平臺存在的漏洞是導致此次事件發(fā)生的根本原因��。“近年來����,工業(yè)數(shù)據(jù)平臺被曝出的漏洞日益增多�,尤其是工業(yè)控制系統(tǒng)內(nèi)的安全漏洞層出不窮,且大量集中在裝備制造��、交通����、能源等重要領域,嚴重威脅國家信息基礎設施安全��。一些黑客正是利用這些漏洞���,竊取了大量的工業(yè)敏感信息����。”閆懷志說�����。
自2015年以來����,全球每年發(fā)生的工業(yè)信息安全事件接近300起,工業(yè)領域已成為網(wǎng)絡攻擊“重災區(qū)”����。
國家工業(yè)信息安全發(fā)展研究中心監(jiān)測數(shù)據(jù)結果顯示,我國3000余個暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)���,95%以上都存在漏洞����,可輕易被遠程控制�,約20%的重要工控系統(tǒng)可被遠程入侵并完全接管����。
“目前很多工業(yè)系統(tǒng)和設備沒有防護軟件���,也未安裝殺毒系統(tǒng)��,一旦上了網(wǎng)就基本處于‘裸奔’狀態(tài)�����。”一位業(yè)內(nèi)人士表示����,目前我國一些通信����、能源、水利����、電力等關鍵基礎設施存在著較大的安全風險,而入侵和控制工業(yè)信息系統(tǒng)也已成為商業(yè)上打壓競爭對手的不法手段�����。
企業(yè)安全意識薄弱 相關人才儲備匱乏
“目前,我國很多地區(qū)����、部門�����、工業(yè)企業(yè)對工業(yè)數(shù)據(jù)安全重視不夠����,重發(fā)展輕安全,不重視漏洞�����、修復不及時等現(xiàn)象普遍存在���。”閆懷志說����。
據(jù)360補天漏洞響應平臺統(tǒng)計���,在其涵蓋的工業(yè)相關信息系統(tǒng)漏洞中�,25.6%的漏洞未進行修復,一些漏洞的平均修復時間長達數(shù)月之久����。
我國對工業(yè)信息領域安全的認識還處在初級階段。2017年5月“Wanna Cry”勒索病毒事件暴發(fā)�,微軟在當年3月就發(fā)布了相應的安全漏洞補丁,但我國很多單位一直由于未及時打補丁���,導致近30萬臺主機和電腦被感染��。
直到今年���,360公司還能監(jiān)測到每天有近千臺電腦感染此勒索病毒。
在企業(yè)中��,因私人行為導致設備感染病毒的情況也較為多見���。例如�����,個人通過工控設備違規(guī)上網(wǎng)���,或是廠商的維護人員電腦感染病毒后造成設備系統(tǒng)全網(wǎng)感染等���。
此外,我國工業(yè)企業(yè)目前的防護技術還較為落后����。國家工業(yè)信息安全發(fā)展研究中心通過安全監(jiān)測發(fā)現(xiàn),工業(yè)企業(yè)信息安全應急備災手段不足�,約70%的被調(diào)查企業(yè)缺少完善的應災備災體系�。
防護技術之外,我國在工業(yè)信息領域的核心產(chǎn)品自主可控度也較低����。
國家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟發(fā)布的《2017年工業(yè)信息安全態(tài)勢白皮書》顯示,國產(chǎn)數(shù)據(jù)庫僅占據(jù)7%的低端市場��,大量工控系統(tǒng)由外國廠商提供運行維護��。我國部分企業(yè)不具備自主維護能力��,而且缺乏對外國產(chǎn)品和服務的監(jiān)管����。
同時,人才匱乏也是導致工業(yè)信息安全技術薄弱的原因之一。“公共信息安全人才需掌握自動化和網(wǎng)絡安全兩個學科的知識和技能�,這類人才缺口巨大。但目前在高校中尚沒有設立工業(yè)信息安全領域碩士�����、博士的培養(yǎng)方向��,工業(yè)信息安全從業(yè)人員幾乎都是在實踐中學習���。”閆懷志說�����。
筑防線需多方合力 可借鑒歐盟做法
“工業(yè)大數(shù)據(jù)的共享是工業(yè)互聯(lián)網(wǎng)應用的基礎和靈魂�,而工業(yè)數(shù)據(jù)安全及隱私保護又是一切應用的前提����。”閆懷志建議,要想給工業(yè)信息構筑起一道“防線”�����,首先企業(yè)應樹立信息安全與隱私保護意識����。
閆懷志介紹���,傳統(tǒng)IT網(wǎng)絡中的隱私規(guī)范,主要應用“告知與許可”原則���,由信息所有者自行決定可否�、如何且由誰來處理或利用其信息�����,信息隱私保護的責任方為信息所有者��。在工業(yè)大數(shù)據(jù)和工業(yè)互聯(lián)網(wǎng)領域����,工業(yè)數(shù)據(jù)需要被多次使用�,傳統(tǒng)的“告知與許可”隱私保護機制不具備現(xiàn)實可行性,工業(yè)數(shù)據(jù)信息隱私保護的責任將由數(shù)據(jù)使用方來承擔����。這種方式下可采用的保護手段包括數(shù)據(jù)分類分級和數(shù)據(jù)脫敏等。
此外�����,掌握大量工業(yè)信息的數(shù)據(jù)平臺也應肩負起管理的責任。“此前我國網(wǎng)絡安全與信息平臺監(jiān)管主體不清晰��,多頭監(jiān)管問題突出�����,信息系統(tǒng)平臺安全監(jiān)管不力甚至監(jiān)管缺失的情況時有發(fā)生�����,特別是在工業(yè)互聯(lián)網(wǎng)和工業(yè)數(shù)據(jù)安全保護方面表現(xiàn)得更為突出���。”閆懷志表示����,“平臺應不斷完善數(shù)據(jù)隱私保護以及網(wǎng)絡安全策略���,成立數(shù)據(jù)安全與隱私保護的專門負責機構或組織��。“
