2022年12月20日,一则“NIO数据泄露”的消息在互联网安全圈迅速传开。网友在网上发帖称,有人获得了蔚来拥有大量数据,其中包括2.28万条蔚来内部员工数据和39.9万条车主和用户的身份证数据。一时间,引起了业内众多人士的广泛讨论。针对此消息,12月20日下午,蔚来汽车发布《关于数据安全事件的声明》,称蔚来收到一封外部勒索邮件,称其掌握蔚来内部数据,数据已外泄。勒索225万美元的比特币。蔚来经初步内部调查,承认被盗数据为2021年8月之前的部分用户基本信息和车辆销售信息。对于此次数据泄露事件,蔚来汽车对用户造成的影响深表歉意,并郑重承诺承担责任针对此次事件给用户造成的损失,并协调执法部门深入调查。同时,蔚来表示已对公司网络信息安全进行排查和加强,未来将加强技术实力,提升信息系统安全防护能力,全力保护用户信息安全。完整声明如下图所示:员工和车主信息泄露不可避免截至目前,尚不清楚蔚来员工和车主泄露了多少数据,泄露了哪些类型的数据。不过,蔚来能够及时发布公开声明,让员工和车主了解数据泄露事件,得到了很多业内人士的肯定。员工承担相应责任。作为新能源汽车领导品牌,蔚来的交付量位居行业前列。从第三方公开平台查询的信息显示,蔚来2021年1-7月共交付49887辆,2020年交付43728辆,2019年交付20565辆,2018年2018年交付量达到11348辆。从蔚来公司发布的声明中我们可以得知,蔚来将配合执法部门进行处理,因此这部分赎金不会支付,因此上述被盗信息很可能被打包、出售或发布在暗网上。蔚来汽车泄露的信息已被勒索组织“拆分零售”,包括车主身份证号码、车主住址信息、注册用户数据、贷款数据等,价格为0.1-0.25比特币,全部打包为1比特币。这也意味着超过10万名车主和员工将面临个人数据泄露风险。在接下来的一段时间里,他们和他们的亲人还可能面临垃圾短信、营销电话、网络邮件钓鱼、电信诈骗等事件。用户应提高警惕,保护人身财产安全。蔚来会被监管处罚吗?“如此严重的数据泄露事件,蔚来汽车是否会受到监管和处罚”也是业界高度关注的焦点。由于目前尚不清楚蔚来的合规情况,安全专家无法判断蔚来是否会受到监管处罚以及具体的处罚措施。不过,近年来,我国陆续出台了《网络安全法》《数据安全法》《个人信息保护法》等重法,对企业数据泄露的执法和处罚都有明确规定。这个事件可以作为一个例子来分析。一家之言,仅供读者参考。对于数据泄露事件,三法都有明确规定,应当依法向监管部门报告,也就是我们所说的履行报告义务。例如,第五十一条明确规定,国家建立网络安全监测预警和信息通报制度。如果公司试图掩盖事件而不报告,可能会受到严厉的处罚。从蔚来公司的公告中,可以大致猜测“尼来已经履行了报告义务”,不会受到这里监管的重罚。同时,对于各类网络安全事件,目前普遍实行“一案双查”制度。在调查网络安全犯罪的同时,还将对涉案企业是否符合合规要求展开调查。需要注意的是,在企业网络安全体系建设过程中,是否符合合规要求,将面临监管部门两种截然不同的处罚。企业如果不履行网络安全和数据安全义务,发生数据泄露事件后,不仅企业要承担各种损失,还会受到监管部门严厉的行政处罚,网络安全负责人和数据泄露事件的责任人也可能受到相应的处罚。数据泄露发生后,企业是否及时补救、调查数据泄露的严重程度、检查内部网络安全流程等,都是监管和行政处罚的参考事项。换句话说,如果公司符合监管要求,所有的行为都在规则之内,那么即使撞板,也会轻一些;否则,板子会越来越重。单从现有信息来看,蔚来被禁的概率会更小。加强安全防范势在必行安全事件频发已成为全球共识。据身份盗窃资源中心发布的《2021 Data Breach Report》,过去一年共发生1862起数据泄露事件,创下2020年和2017年的历史新高。处于数字化转型浪潮中的制造业将面临更多严重的风险。随着制造业向自动化和智能化转型,企业面临的最直观的问题是数据量的指数级增长和传统IT基础架构的多样化,这将大大增加数据安全风险。可以预见,未来数据量将不断增加,IT基础设施的多样化将更加明显,攻击者的手段将更具威胁性。对于企业来说,是否有一个长远的网络安全体系建设规划,让安全能力能够随着企业的发展不断壮大,是一个必须要考虑的问题。
