3月10日,特斯拉一天内上了两个微博热搜。一是车主反映刹车失灵,坐在车顶维权,属于客户纠纷范畴;二是媒体爆料称,特斯拉上海工厂内部监控录像泄露,导致现场生产情况曝光。起因是国际黑客组织侵入了特斯拉合作伙伴安全系统初创公司Verkada的数据库,获取了15万条摄像头视频内容,其中包括222条特斯拉工厂和仓库的摄像头数据。Verkada镜头下的特斯拉工厂。图片来源为彭博社。特斯拉第一时间回应:黑客入侵范围仅涉及特斯拉供应商河南某生产基地。该工厂使用少量Verkada品牌相机作为远程质量管理,其他如上海超级工厂与此无关,其他相机设备连接到公司内网而不是互联网。目前,特斯拉已经停止了这些摄像头的联网,并将进一步完善各个环节的安全管控。Verkada还在其官网表示,攻击者从2021年3月7日开始获取服务器访问权限、摄像头访问权限和客户名单,一直持续到3月9日中午左右。该公司自此禁用了所有内部管理员账户,安全团队正在进行深入调查并通知美国执法部门。当所有公司事后做出回应时,负责此次事件的黑客组织成员蒂莉·科特曼(TillieKottmann)在接受采访时表示,入侵Verkada摄像头的方法并不复杂。用户admin账户的用户名和密码进入了Verkada网络,他们甚至获得了摄像头的root权限,可以使用摄像头执行自己的代码。据悉,此次事件曝光的企业和机构不仅包括特斯拉上海工厂,还包括多个国家的医院、诊所、公司、监狱、学校等场所,甚至还有制造商Verkada办公室内的视频资料本身。科特曼表示,此举的目的是向公众展示视频监控的普及程度以及系统是如何容易被黑客入侵的,并没有给受影响的单位造成明显的商业损失。但是,要扩大话题,我们应该对物联网的安全保持应有的关注和谨慎。一方面,各种隐私泄露事件不断发生,首先,消费者对使用网络摄像头的顾虑逐渐增加,怀疑像亚马逊Echo这样的智能音箱设备是否会听到“我”的所有对话;另一方面,去年12月,Forescout的安全研究人员披露了4个开源TCP/IP库的33个安全漏洞,称影响了150多家供应商的超过100万台智能设备和工业互联网产品,这证明了在企业中也存在着不容忽视的安全隐患。矛盾点是:部署安全措施和通过传播业务赚钱,你不能两者兼得?在科特曼的采访陈述中,他提到了一句非常个人化和感性的一句话:“安防摄像头公司只追求利润,而忽视了对网络安全的保护。”实际上,Verkada成立于2016年,主要从事安防摄像头业务。产品亮点包括将本地安防摄像头迁移到云端,让客户通过网络访问和管理;支持AI视觉技术,可以区分视频中的人脸和车辆进行检测和识别。2020年1月,公司获得融资80亿美元,投后估值16亿美元,客户范围已发展到千余家,涵盖学校、企业、零售、酒店、医疗保险等多个行业。五联传媒、智能网络摄像机是一个存量巨大的市场,具有五个特点:产业基础扎实、产业需求明确、容易y做产品,市场空间大,场景延伸能力好。涉及交通、安防、社区、商场、民用等场景均可深入探索。根据早期IHSMarkit视频监控情报服务提供的数据,2019年全球视频监控市场收入将达到199亿美元,高于2018年的182亿美元,增长率为9%。此外,2017年增长率为9.3%,2018年增长率为8.7%。这是继2016年3.9%和2015年1.9%的小幅增长后,全球视频监控市场连续第三年实现大幅增长。Verkada也成立于关键窗口期,从成立到发展这段时间,VerkadaCEOFilipKaliszan曾表示,他看到很多相机因消费市场的快速发展而诞生,但很大一部分技术已经过时,包括他们的安全理念,这只是为了确保任何人都无法在未经授权的情况下访问监控系统的磁带和监视器。虽然世界上从来就没有绝对的安全,但很可惜的是,早就认识和理解安全问题的Verkada,却在2021年将这么一个简单的漏洞暴露给了外界,究其原因,并不是一家公司的问题,甚至整个行业都不太清楚应该对事前安全防护采取什么态度。在您弄清楚之前,优先考虑业务增长并没有错。此外,网络安全没有万能的解决方案。要及时响应危害事件,持续查杀漏洞,更新补丁和固件,在网络安全方面投入应有的资金和人力。Verkada如此,海康大华亦是如此。每一次网络安全事件都应该是一次学习经历。2016年“美东互联网中断”事件中,数十万台路由器、摄像头等联网设备被僵尸网络感染。通过持续扫描漏洞,操纵机器人。这样向目标发送合理的服务请求,占用过多的服务资源,导致服务器拥塞,无法对外提供正常服务。2018年台积电病毒感染事件导致重要高端产能工厂停产。事实上,台积电犯了三个错误:1)进入产线的新设备带有病毒,没有被查杀;2)负责密钥制作设施内的电脑是旧的Windows7系统,没有打过补丁;3)设备的445端口没有关闭,容易被病毒入侵。2019年德国杜塞尔多夫医院勒索软件攻击事件发生后,德国网络安全机构BSI对外发出警告——要求德国企业和机构更新CVE-2019-19871漏洞(勒索软件已知入口点)它是Citrix网络网关。2020年,富士康墨西哥工厂遭遇勒索软件攻击后,督促内部信息安全团队加紧完成软件和操作系统安全更新,同时提升信息安全防护水平。从沿途跟踪情况来看,网络安全事件时有发生,甚至部分厂商可以采取被动防护的态度,将损失降到最低。但一旦出现像台积电这样影响公司营收的情况,再后悔也来不及了。有句话说了很多遍。如今,黑客或病毒攻击的对象已经从保护能力较弱的个人PC、传统企业、政府、学校网站扩散到工厂、工业设备、智能相机、路由器等诸多类型。或许现在,仅仅靠口号还不能让全行业对安全有足够的认识,但回顾近几年发生的事件,我们总能吸取经验和教训,逐步提高安全能力和意识.有望从政策标准层面推动。2019年1月,日本总务省修订《电气通信事业法》,要求联网终端设备从2020年4月起具备防非法登录功能,例如能够切断外部控制,要求更改初始默认值等。ID和密码、可频繁更新的软件等,只有符合标准并通过认证的设备才能在日本上市。2020年1月,英国国家网络安全中心指定举措,要求消费物联网制造商使用唯一密码,而不是默认出厂设置;提供一个公共访问点来报告漏洞;并说明如何保护设备更新的最短持续时间。2020年9月,澳大利亚政府发布《实践准则:为消费者保护物联网》,基于13条原则,鼓励制造商提高物联网设备的安全性,并鼓励消费者在购买智能设备时考虑安全特性。同年9月,美国众议院通过《2020年物联网网络安全改进法案》,要求联邦政府购买的所有联网设备(包括计算机、移动设备和其他具有联网功能的产品)必须符合美国众议院发布的要求。美国国家标准技术研究院(NIST)。最低安全标准。2020年11月,欧盟网络安全局(ENISA)发布了《物联网安全准则》,旨在帮助物联网制造商、开发商、集成商和物联网供应链中的所有利益相关者构建、部署或评估物联网技术。做出更好的安全决策。所有迹象都表明,从政府采购、消费者购买到制造商本身,全球物联网安全意识正在增强。事实上,有理由相信未来相关主管部门将继续推动和完善安全标准,物联网安全行业终将迎来更加美好的未来。
