事件回顧
近日,豐田公司近期遭受黑客入侵。一名黑客在論壇上發(fā)帖稱自己從豐田美國(guó)分公司竊取的240GB數(shù)據(jù),豐田官方隨后表示這一情況屬實(shí)。根據(jù)這名黑客的描述,這些數(shù)據(jù)不僅涉及豐田員工和客戶的信息,還包括合同和財(cái)務(wù)信息,并通過(guò)AD-Recon搜集了更多類型的數(shù)據(jù)。
雖然豐田沒(méi)有透露這次數(shù)據(jù)泄露的日期,以及黑客是通過(guò)何種方式入侵并竊取了多少人的數(shù)據(jù),但BleepingComputer 發(fā)現(xiàn)這些文件被至少是在 2022 年 12 月 25 日創(chuàng)建的。這個(gè)日期可能表明,攻擊者訪問(wèn)了存儲(chǔ)數(shù)據(jù)的備份服務(wù)器。盡管豐田表示問(wèn)題范圍有限,并已與受影響人員保持聯(lián)系,但這一事件再次凸顯了車企在數(shù)據(jù)安全方面的脆弱性。
伴隨汽車智能化、網(wǎng)聯(lián)化的快速發(fā)展,以及應(yīng)用場(chǎng)景的不斷豐富和汽車數(shù)據(jù)處理能力的增強(qiáng),近年來(lái),以汽車數(shù)據(jù)為核心的新安全問(wèn)題日益凸顯,汽車數(shù)據(jù)安全事件頻發(fā),眾多汽車廠商均受到數(shù)據(jù)安全問(wèn)題影響:
>> 特斯拉客戶、員工和業(yè)務(wù)合作伙伴的100GB機(jī)密數(shù)據(jù)泄露,這些數(shù)據(jù)包含超過(guò)10萬(wàn)個(gè)離職和在職員工姓名,以及私人電子郵件地址、電話號(hào)碼、員工工資、客戶的銀行信息和生產(chǎn)的秘密細(xì)節(jié)的多個(gè)表格;
>> 小米汽車二級(jí)供應(yīng)商保密的設(shè)計(jì)文件泄密,首款車型小米MS11車型的設(shè)計(jì)圖片,小米汽車保險(xiǎn)杠、小米MS11的裝飾件,以及小米與北汽模塑相關(guān)合作細(xì)節(jié)被披露,供應(yīng)商被罰100萬(wàn)元;
>> 蔚來(lái)汽車遭黑客攻擊,泄露數(shù)據(jù)包括內(nèi)部員工數(shù)據(jù)22800條、車主用戶身份證數(shù)據(jù)399000條等,黑客向蔚來(lái)汽車?yán)账?25萬(wàn)美元等值的比特幣。
Part.1
車企面臨的數(shù)據(jù)安全挑戰(zhàn)
>> 數(shù)據(jù)種類繁多:智能網(wǎng)聯(lián)汽車產(chǎn)生的數(shù)據(jù)包括但不限于車輛位置、駕駛習(xí)慣、個(gè)人設(shè)置等,數(shù)據(jù)類型復(fù)雜多樣;
>> 攻擊手段多樣:黑客可能通過(guò)0day攻擊、社工釣魚(yú)、配置錯(cuò)誤等多種方式入侵車企系統(tǒng);
>> 供應(yīng)鏈風(fēng)險(xiǎn):車企與眾多合作伙伴、供應(yīng)商共享數(shù)據(jù),第三方風(fēng)險(xiǎn)成為數(shù)據(jù)泄露的重要來(lái)源;
>> 人為因素:?jiǎn)T工的安全意識(shí)薄弱、操作失誤也是導(dǎo)致數(shù)據(jù)泄露的重要原因。
Part.2
車企數(shù)據(jù)安全防護(hù)應(yīng)對(duì)方案
? 對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),梳理數(shù)據(jù)資產(chǎn),了解企業(yè)中有哪些機(jī)密數(shù)據(jù),并且按照保密等級(jí)進(jìn)行分類,嚴(yán)格把控?cái)?shù)據(jù)使用權(quán)限。
? 企業(yè)內(nèi)部所有重要數(shù)據(jù)進(jìn)行強(qiáng)制、主動(dòng)加密,保證數(shù)據(jù)全生命周期都在加密狀態(tài)下得到保護(hù),防止數(shù)據(jù)被非正常獲取與使用。
? 對(duì)外發(fā)數(shù)據(jù)進(jìn)行嚴(yán)格管控,經(jīng)過(guò)相關(guān)領(lǐng)導(dǎo)審批后內(nèi)部文件才能擺脫密文狀態(tài),進(jìn)行查看和編輯。防止內(nèi)部員工進(jìn)行有意或無(wú)意的機(jī)密文件發(fā)送,避免數(shù)據(jù)外泄。
? 對(duì)外提供的文件打上水印,記錄操作人員信息,在安全事故發(fā)生后第一時(shí)間鎖定泄密源頭,啟動(dòng)應(yīng)急措施。
? 強(qiáng)化數(shù)據(jù)安全管理制度的制定與執(zhí)行,從制度與管理層面加強(qiáng)數(shù)據(jù)安全的管控。定期進(jìn)行員工安全意識(shí)培訓(xùn)和應(yīng)急方案演練。
敏捷科技以數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS為核心的數(shù)據(jù)全生命周期安全防護(hù)方案,包含數(shù)據(jù)分類分級(jí)、數(shù)據(jù)加解密、數(shù)據(jù)防泄漏、外發(fā)管控、水印溯源、日志審計(jì)等功能模塊,有效防止數(shù)據(jù)泄露事件的發(fā)生,為車企提供一體化數(shù)據(jù)安全防護(hù)和管理。
敏捷科技數(shù)據(jù)安全防護(hù)方案目前已護(hù)航包括一汽、長(zhǎng)安、東風(fēng)、吉利、合眾、smart、五菱、宇通等行業(yè)標(biāo)桿車企的數(shù)據(jù)安全,得到客戶和行業(yè)的一致認(rèn)可。敏捷將秉承企業(yè)級(jí)的可靠性和穩(wěn)定性品質(zhì),提供專業(yè)穩(wěn)定、合法合規(guī)的數(shù)據(jù)安全產(chǎn)品,護(hù)航更多車企的數(shù)字化轉(zhuǎn)型。
推薦閱讀
● 東風(fēng)汽車集團(tuán)選用敏捷DGS ,敏捷科技護(hù)航汽車“國(guó)家隊(duì)”數(shù)據(jù)安全