近日，一起“無差別”車廠信息泄露事故引起關注，被稱作最嚴重的“車禍現(xiàn)場”。

據(jù)網絡安全公司UpGuard報告稱：100 多家車廠的機密數(shù)據(jù)泄露，包括福特、特斯拉、豐田、大眾、通用汽車等在內。

數(shù)據(jù)泄漏的源頭指向Level One Robotics——這些車廠的共同服務器提供商，泄露的數(shù)據(jù)包括消費者發(fā)票合約信息、產品設計圖表和工作研發(fā)計劃等一系列機密信息。

一石激起千層浪，很多網友調侃：這些秘密文件或將成為中國車廠翻身的好機會。

但圍觀過后，這起“數(shù)據(jù)車禍”的確引人深思。

據(jù)相關科技媒體報道介紹，此次信息泄露除了車廠裝配線、工廠原理圖，機器配置規(guī)格、使用文檔以及工作動畫均暴露在外，甚至數(shù)十份保密協(xié)議全文、客戶隱私條款、保密數(shù)據(jù)文件等各類保密協(xié)議也統(tǒng)統(tǒng)外露。此外，員工證件、身份證號碼以及照片等員工私密數(shù)據(jù)也在泄露之列。而Level One的合同、發(fā)票、報價等數(shù)據(jù)自然也沒能幸免于難。

從內部人員到外部合作方數(shù)據(jù)，泄露數(shù)據(jù)之詳細、豐富確實細思極恐，通過 Level One的文件傳輸協(xié)議 rsync，不需要密碼就可以直接訪問這個數(shù)據(jù)庫。

機密數(shù)據(jù)處于公開訪問環(huán)境，甚至支持篡改，如果不是UpGuard發(fā)現(xiàn)此次數(shù)據(jù)泄露，而是被別有用心的企業(yè)利用呢？諷刺的是，這些信息是否已經泄露都無從知曉。

網絡攻擊多樣化，推動工業(yè)信息安全需求增長

互聯(lián)網在不斷深化改造人們賴以生存的環(huán)境，使之互相聯(lián)結。2017年全球暴露在互聯(lián)網上的工業(yè)控制系統(tǒng)設備數(shù)量超過10萬個，同比增長43%。截至2018年5月份，國內范圍內暴露在互聯(lián)網上的工業(yè)控制系統(tǒng)設備數(shù)量達97625個。

根據(jù)美國ICS-CERT收錄的數(shù)據(jù)顯示，2010年以來，全球工業(yè)領域發(fā)生的信息安全事件數(shù)量呈現(xiàn)逐年上升趨勢，從2015年以來每年發(fā)生工業(yè)信息安全事件數(shù)量近300起。

攻擊的行業(yè)領域也不斷擴大，造成后果愈加嚴重。從被攻擊的行業(yè)分布來看，目前主要分布在制造業(yè)、通信、能源、供水和市政施設領域。2017年5月，蠕蟲病毒“WannaCry”入侵了全球150多個國家的信息系統(tǒng)，多家汽車制造商被迫停產，能源與通信等重要行業(yè)損失慘重。隨著工業(yè)控制系統(tǒng)越來越標準化，工控系統(tǒng)漏洞數(shù)量增加，工業(yè)信息安全變得易攻難守。

2017年12月，特朗普取消了奧巴馬時期的“網絡中立”原則，意味著中國未來將要面對斷網，網絡攻擊和網絡戰(zhàn)爭的風險。現(xiàn)在的戰(zhàn)爭已經是無硝煙的戰(zhàn)爭，金融戰(zhàn)爭與網絡戰(zhàn)爭將會成為常態(tài)，目前中國工業(yè)信息安全基礎仍然比較薄弱，但是近兩年受到國家重視有較快發(fā)展。

建立信息安全防護體系，提升安全防護技術

工業(yè)控制系統(tǒng)安全是國家關鍵信息基礎設施安全的重要組成部分。在工業(yè)互聯(lián)網、"中國制造2025"、"工業(yè)4.0"等趨勢驅動下，隨著云計算、物聯(lián)網、大數(shù)據(jù)技術的成熟，信息化與工業(yè)化進行了深度融合，在拓展了工業(yè)控制系統(tǒng)發(fā)展空間的同時，也帶來了工業(yè)控制系統(tǒng)網絡安全問題。

信息安全作為"十三五"重點建設方向，重磅支持政策加速出臺。隨著近年來國內網絡安全事件地頻繁發(fā)生，我國政府對于信息安全防護，尤其是工業(yè)信息安全防護，建設意識逐漸加強，政策支持力度不斷上升。未來工業(yè)信息安全發(fā)展重點主要在安全防護體系構建和信息安全防護技術提升上。預計未來5年中國工業(yè)信息安全市場規(guī)模實現(xiàn)快速增長，復合增長率為55%左右，到2023年工業(yè)信息安全行業(yè)市場規(guī)達到77.48億水平。

工業(yè)信息安全產業(yè)結構可以分為產品和服務兩大板塊。產品結構主要分為防護和管理兩大類。工業(yè)信息安全防護類產品主要包括邊界安全產品、終端安全產品及監(jiān)測審計類產品。工業(yè)信息安全管理類產品主要包括資產管理、身份認證管理、安全運營管理等。

目前工業(yè)領域在信息安全方面的投入仍然以傳統(tǒng)IT信息安全為主，針對工業(yè)控制系統(tǒng)信息安全的投入僅占10%左右。2012年-2014年，中國工業(yè)信息安全市場規(guī)模增長率只有10%左右，2015年開始快速增長，2017年中國工業(yè)信息安全市場規(guī)模為5.57億元，同比增長53.60%。2017年中國信息安全市場規(guī)模約為419.1億元，中國工業(yè)信息安全市場規(guī)模占為1.33%，市場規(guī)模較小。

網絡安全已經迅速波及制造業(yè)，涉及到產業(yè)鏈多環(huán)節(jié)

在工業(yè)互聯(lián)網平臺迅速發(fā)展的當下，暫且不談安全隱患引起的嚴重后果，如果用戶對平臺的安全性存在質疑，那么互聯(lián)即便有再多的益處，在風險面前也會令人望而卻步。

因此，構建良好的安全體系是制造企業(yè)的當務之急。從提升網絡安全性、設置更高的防護等級，到設備編程調試數(shù)據(jù)的保護等，安全應當融入到企業(yè)生產的全生命周期。此外定期的檢查分析、風險預測和信息的更新處理也應當引起重視。

安全事件頻發(fā)，對于大數(shù)據(jù)、云平臺等本就沒什么安全感的用戶來說簡直雪上加霜。因此對于相關供應商來說，如何加強對工業(yè)現(xiàn)場的理解，打造更加安全的方案至關重要。

安全不是概念，更不是口號和宣傳的噱頭，今天是供應鏈管理，下一次可能是全生命周期管理，如果都要等到事故發(fā)現(xiàn)或發(fā)生后再“亡羊補牢”，那要付出的學費是不是太昂貴了呢？