【科技日報】工業(yè)數(shù)據(jù):黑客盯上的又一塊“肥肉”
發(fā)布日期:2018-08-01 供稿:科技日報 編輯:吳楠 審核:王征 閱讀次數(shù):
原文標(biāo)題:工業(yè)數(shù)據(jù):黑客盯上的又一塊“肥肉”
原文鏈接:http://digitalpaper.stdaily.com/http_www.kjrb.com/kjrb/html/2018-08/01/content_400582.htm?div=-1
數(shù)據(jù)平臺存在的漏洞是導(dǎo)致此次事件發(fā)生的根本原因。近年來,,工業(yè)數(shù)據(jù)平臺被曝出的漏洞日益增多,,且大量集中在裝備制造、交通,、能源等重要領(lǐng)域,。一些黑客正是利用這些漏洞,竊取了大量的工業(yè)信息,。
包括克萊斯勒,、福特、特斯拉等全球100家車企的超過47000個機(jī)密文件遭外泄,,這一被媒體稱為迄今為止最嚴(yán)重的工業(yè)數(shù)據(jù)“車禍”于近日發(fā)生,。
據(jù)報道,數(shù)據(jù)泄露的源頭指向了這些車廠共同的服務(wù)器提供商Level One Robotics and Controls(以下簡稱Level One),,泄露的數(shù)據(jù)包括產(chǎn)品設(shè)計原理圖,、裝配線原理圖、工廠平面圖,、采購合同等敏感信息,。
“這只是全球近年來頻發(fā)的工業(yè)信息安全事故的縮影?!?月30日北京理工大學(xué)網(wǎng)絡(luò)攻防對抗技術(shù)研究所所長閆懷志在接受科技日報記者采訪時說,,從全球發(fā)展趨勢來看,工業(yè)互聯(lián)網(wǎng)和工業(yè)數(shù)據(jù)日益成為黑客攻擊的重點目標(biāo),。
那么,,到底誰是這次工業(yè)數(shù)據(jù)泄露事件的罪魁禍?zhǔn)啄兀课覀冇衷撊绾斡行Х乐诡愃剖录陌l(fā)生呢,?
訪問不設(shè)限釀“車禍” 平臺漏洞是禍?zhǔn)?/strong>
“車禍”主角Level One是一家數(shù)據(jù)管理平臺公司,,它主要提供基于客戶原始數(shù)據(jù)的定制化服務(wù),。
“Level One在使用遠(yuǎn)程數(shù)據(jù)同步工具rsync處理數(shù)據(jù)時,,備份服務(wù)器沒有限制使用者的IP地址,并且未設(shè)置身份驗證等用戶訪問權(quán)限,,因此任何人都能直接通過rsync訪問備份服務(wù)器,,這是導(dǎo)致事故發(fā)生的主要原因?!?月30日寶沃汽車(上海)有限公司總工程師劉凱在接受科技日報記者采訪時說,,“由于業(yè)務(wù)擴(kuò)展需要,如今越來越多的第三方公司獲得了車企的訪問權(quán)限,,車企數(shù)據(jù)泄露的風(fēng)險也就隨之增加,?!?/p>
在閆懷志看來,數(shù)據(jù)平臺存在的漏洞是導(dǎo)致此次事件發(fā)生的根本原因,?!敖陙恚I(yè)數(shù)據(jù)平臺被曝出的漏洞日益增多,,尤其是工業(yè)控制系統(tǒng)內(nèi)的安全漏洞層出不窮,,且大量集中在裝備制造、交通,、能源等重要領(lǐng)域,,嚴(yán)重威脅國家信息基礎(chǔ)設(shè)施安全。一些黑客正是利用這些漏洞,,竊取了大量的工業(yè)敏感信息,。”閆懷志說,。
自2015年以來,,全球每年發(fā)生的工業(yè)信息安全事件接近300起,工業(yè)領(lǐng)域已成為網(wǎng)絡(luò)攻擊“重災(zāi)區(qū)”,。
國家工業(yè)信息安全發(fā)展研究中心監(jiān)測數(shù)據(jù)結(jié)果顯示,,我國3000余個暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng),95%以上都存在漏洞,,可輕易被遠(yuǎn)程控制,,約20%的重要工控系統(tǒng)可被遠(yuǎn)程入侵并完全接管。
“目前很多工業(yè)系統(tǒng)和設(shè)備沒有防護(hù)軟件,,也未安裝殺毒系統(tǒng),,一旦上了網(wǎng)就基本處于‘裸奔’狀態(tài)?!币晃粯I(yè)內(nèi)人士表示,,目前我國一些通信、能源,、水利,、電力等關(guān)鍵基礎(chǔ)設(shè)施存在著較大的安全風(fēng)險,而入侵和控制工業(yè)信息系統(tǒng)也已成為商業(yè)上打壓競爭對手的不法手段,。
企業(yè)安全意識薄弱 相關(guān)人才儲備匱乏
“目前,,我國很多地區(qū)、部門,、工業(yè)企業(yè)對工業(yè)數(shù)據(jù)安全重視不夠,,重發(fā)展輕安全,不重視漏洞,、修復(fù)不及時等現(xiàn)象普遍存在,?!遍Z懷志說。
據(jù)360補(bǔ)天漏洞響應(yīng)平臺統(tǒng)計,,在其涵蓋的工業(yè)相關(guān)信息系統(tǒng)漏洞中,,25.6%的漏洞未進(jìn)行修復(fù),一些漏洞的平均修復(fù)時間長達(dá)數(shù)月之久,。
我國對工業(yè)信息領(lǐng)域安全的認(rèn)識還處在初級階段,。2017年5月“Wanna Cry”勒索病毒事件暴發(fā),微軟在當(dāng)年3月就發(fā)布了相應(yīng)的安全漏洞補(bǔ)丁,,但我國很多單位一直由于未及時打補(bǔ)丁,,導(dǎo)致近30萬臺主機(jī)和電腦被感染。
直到今年,,360公司還能監(jiān)測到每天有近千臺電腦感染此勒索病毒,。
在企業(yè)中,因私人行為導(dǎo)致設(shè)備感染病毒的情況也較為多見,。例如,,個人通過工控設(shè)備違規(guī)上網(wǎng),或是廠商的維護(hù)人員電腦感染病毒后造成設(shè)備系統(tǒng)全網(wǎng)感染等,。
此外,,我國工業(yè)企業(yè)目前的防護(hù)技術(shù)還較為落后。國家工業(yè)信息安全發(fā)展研究中心通過安全監(jiān)測發(fā)現(xiàn),,工業(yè)企業(yè)信息安全應(yīng)急備災(zāi)手段不足,,約70%的被調(diào)查企業(yè)缺少完善的應(yīng)災(zāi)備災(zāi)體系。
防護(hù)技術(shù)之外,,我國在工業(yè)信息領(lǐng)域的核心產(chǎn)品自主可控度也較低,。
國家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟發(fā)布的《2017年工業(yè)信息安全態(tài)勢白皮書》顯示,國產(chǎn)數(shù)據(jù)庫僅占據(jù)7%的低端市場,,大量工控系統(tǒng)由外國廠商提供運行維護(hù),。我國部分企業(yè)不具備自主維護(hù)能力,而且缺乏對外國產(chǎn)品和服務(wù)的監(jiān)管,。
同時,,人才匱乏也是導(dǎo)致工業(yè)信息安全技術(shù)薄弱的原因之一?!肮残畔踩瞬判枵莆兆詣踊途W(wǎng)絡(luò)安全兩個學(xué)科的知識和技能,,這類人才缺口巨大。但目前在高校中尚沒有設(shè)立工業(yè)信息安全領(lǐng)域碩士,、博士的培養(yǎng)方向,工業(yè)信息安全從業(yè)人員幾乎都是在實踐中學(xué)習(xí),?!遍Z懷志說,。
筑防線需多方合力 可借鑒歐盟做法
“工業(yè)大數(shù)據(jù)的共享是工業(yè)互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)和靈魂,而工業(yè)數(shù)據(jù)安全及隱私保護(hù)又是一切應(yīng)用的前提,?!遍Z懷志建議,要想給工業(yè)信息構(gòu)筑起一道“防線”,,首先企業(yè)應(yīng)樹立信息安全與隱私保護(hù)意識,。
閆懷志介紹,傳統(tǒng)IT網(wǎng)絡(luò)中的隱私規(guī)范,,主要應(yīng)用“告知與許可”原則,,由信息所有者自行決定可否、如何且由誰來處理或利用其信息,,信息隱私保護(hù)的責(zé)任方為信息所有者,。在工業(yè)大數(shù)據(jù)和工業(yè)互聯(lián)網(wǎng)領(lǐng)域,工業(yè)數(shù)據(jù)需要被多次使用,,傳統(tǒng)的“告知與許可”隱私保護(hù)機(jī)制不具備現(xiàn)實可行性,,工業(yè)數(shù)據(jù)信息隱私保護(hù)的責(zé)任將由數(shù)據(jù)使用方來承擔(dān)。這種方式下可采用的保護(hù)手段包括數(shù)據(jù)分類分級和數(shù)據(jù)脫敏等,。
此外,,掌握大量工業(yè)信息的數(shù)據(jù)平臺也應(yīng)肩負(fù)起管理的責(zé)任?!按饲拔覈W(wǎng)絡(luò)安全與信息平臺監(jiān)管主體不清晰,,多頭監(jiān)管問題突出,信息系統(tǒng)平臺安全監(jiān)管不力甚至監(jiān)管缺失的情況時有發(fā)生,,特別是在工業(yè)互聯(lián)網(wǎng)和工業(yè)數(shù)據(jù)安全保護(hù)方面表現(xiàn)得更為突出,。”閆懷志表示,,“平臺應(yīng)不斷完善數(shù)據(jù)隱私保護(hù)以及網(wǎng)絡(luò)安全策略,,成立數(shù)據(jù)安全與隱私保護(hù)的專門負(fù)責(zé)機(jī)構(gòu)或組織?!?/p>
360集團(tuán)董事長兼CEO周鴻祎也強(qiáng)調(diào)了漏洞管理的問題,。他認(rèn)為,應(yīng)建立漏洞管理全流程監(jiān)督處罰制度,,制定覆蓋網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn),、審核、披露,、通報,、修復(fù)、追責(zé)等全流程管理細(xì)則,強(qiáng)制要求漏洞必須及時修復(fù),,對漏洞修復(fù)時間以及違規(guī)處罰措施予以明確規(guī)定,。此外,應(yīng)建立監(jiān)督檢查機(jī)制和力量,,及時發(fā)現(xiàn)未及時修復(fù)漏洞,,追究相關(guān)單位和責(zé)任人責(zé)任。
中國政法大學(xué)法學(xué)院大數(shù)據(jù)和人工智能法律研究中心主任汪慶華教授則從立法角度給出了建議,。他對科技日報記者說,,我國在網(wǎng)絡(luò)安全和信息保護(hù)方面的立法呈現(xiàn)出分散式立法、多頭式監(jiān)管的特點,。目前,,我國已經(jīng)初步建立起了以《網(wǎng)絡(luò)安全法》為中心的分散式信息保護(hù)和數(shù)據(jù)安全方面的法律體系,未來還需進(jìn)一步加強(qiáng)相關(guān)立法工作,。
在政府監(jiān)管方面上,,閆懷志認(rèn)為,我國可參考借鑒歐盟出臺《通用數(shù)據(jù)保護(hù)條例》(GDPR)的做法,,提高對信息非法獲取的懲戒力度,。
“GDPR是與當(dāng)前網(wǎng)絡(luò)空間現(xiàn)狀最為契合的數(shù)據(jù)保護(hù)條例,要求手握數(shù)據(jù)的企業(yè)和機(jī)構(gòu)設(shè)立專門的數(shù)據(jù)保護(hù)官員來負(fù)責(zé)數(shù)據(jù)管理,。我國也可適當(dāng)借鑒,,要求企業(yè)和機(jī)構(gòu)設(shè)立類似職位。此外,,GDPR不僅倒逼中國企業(yè)更加重視數(shù)據(jù)安全和隱私保護(hù),,而且也為中國數(shù)據(jù)安全工作提供了一種思路——中國也可以制定類似條例來維護(hù)我國企業(yè)和公民個人的數(shù)據(jù)安全,防止國內(nèi)外機(jī)構(gòu)非法濫用,。特別是在工業(yè)互聯(lián)網(wǎng)和工業(yè)數(shù)據(jù)安全保護(hù)方面,,有針對性的制度已成為燃眉之急?!遍Z懷志說,。
相關(guān)報道:
分享到:
