【事件:超级工厂的内部人泄密】

2018年6月,电动汽车行业的领头羊特斯拉公司向美国内华达州联邦法院提起诉讼,指控其内华达州超级工厂的前工艺技术员Martin Tripp窃取了大量生产现场的商业秘密,并向媒体和外部人员泄露了公司的内部信息。这起案件不仅在汽车行业引起了巨大震动,也再次将企业的内部人风险推到了聚光灯下。Tripp在特斯拉超级工厂负责工艺技术岗位,每天需要操作和监控生产线上的各类自动化设备,因此对电池模组生产线的工艺流程、设备参数、生产良率和质量检测标准有着全面且深入的了解。在短短数周内,Tripp通过编写自动化脚本将生产线上的大量实时数据导出至个人设备,随后将部分数据匿名发送给第三方媒体和多位特斯拉内部其他员工。泄露的内容包含了特斯拉超级工厂最高机密的电池模组生产节拍、生产线缺陷率数据以及未公开的工艺参数。更令特斯拉管理层震惊的是,Tripp还对外声称工厂中被标记为合格出厂的电池中有大量产品实际上存在缺陷,这一说法直接引发了媒体对特斯拉Model 3量产困境的集中报道,也给特斯拉的供应链和合作伙伴关系造成了严重的不利影响。特斯拉CEO马斯克在事后发出的内部邮件中承认,Tripp的泄密行为导致公司必须重新评估超级工厂的信息安全体系,并耗费大量人力物力进行损失评估和声誉修复。

【链路:内部人泄密的完整链条解析】

Tripp泄密案的链条涵盖了内部人泄密的七个关键环节,每一环都值得企业信息安全管理者深度警醒。首要环是岗位权限过宽,Tripp作为一名普通工艺技术员,却拥有对电池模组生产线全部核心数据的读写权限。特斯拉虽然在不同车间之间做了物理隔离,但在同一车间内部,所有技术人员的权限几乎是均等的,没有根据岗位需求设定差异化的访问范围。第二环是敏感数据的归档管理缺失,工厂生产现场的实时工艺参数、缺陷率数据和质量检测记录虽然每天都在产生和流转,但这些数据没有被明确标记为商业秘密,也没有统一的文档分类标准和归档管理制度。第三环是数据防泄漏的技术盲区,Tripp通过编写脚本来批量导出数据,这一行为在工业自动化的环境中非常常见,通常不会被自动化设备的管理系统识别为异常行为。特斯拉没有部署针对工业控制网络的数据防泄漏系统,因此数以万计的生产数据文件在被批量导出时没有得到任何告警。第四环是外部信息交互渠道的不可控,Tripp通过个人电脑和手机将数据传送给外部媒体,而工厂对于员工带入的个人手机和个人笔记本电脑缺乏有效的管控机制,员工可以在无人察觉的情况下将公司数据通过个人设备传出。第五环是匿名举报制度的漏洞,Tripp在实施泄密的过程中还同时扮演了吹哨人的角色,利用企业内部的信息举报通道与外部记者建立联系,变相绕过了信息安全的所有物理防线。

【启示:工业企业的内部人风险有多可怕】

这起案件给工业制造企业带来的启示是多维度的。首要,制造业的数字化转型必然伴随着商业秘密风险的几何级增长。当生产线的每一台设备、每一个工位都在产生和上报数据时,企业必须清楚地知道这些数据中有哪些属于商业秘密,分布在什么位置,能够被什么人获取。很多制造业企业的管理者把所有精力都放在了生产效率和良率上,对于数据资产的安全几乎没有投入任何资源。第二,内部人泄密远比外部黑客攻击更难防范。黑客攻击可以被防火墙、入侵检测系统等安全设备识别和阻断,但内部人员手握合法的系统账号和业务权限,他们的每一次数据访问在IT系统看来都是正当操作。因此企业必须建立行为基线,通过多维度的行为分析来识别正常操作中的异常动作。第三,工业控制网络的信息安全意识远远落后于企业办公网络。很多工厂的工业控制系统使用通用协议传输数据,缺乏最基础的数据加密和访问审计能力。特斯拉超级工厂作为全球最先进的电动汽车工厂之一尚且存在如此明显的安全漏洞,普通制造企业的工控网络安全状况更令人担忧。

【行动建议:工业企业的内部数据防泄漏四步法】

北京企密安信息安全技术有限公司结合丰富的制造业安全服务经验,为工业企业量身打造了一套内部数据防泄漏的四步法实施路径。首要步是数据分类分级,由专业顾问进入工厂现场,对所有核心生产和管理系统进行数据源摸查,确定哪些数据属于商业秘密并制定密级标准。第二步是权限精细化管控,配合企业实施零信任架构下的最小权限策略,核心工艺参数仅对指定人员放开,且每次访问都需要独立授权和全程留痕。第三步是部署轻量级的数据防泄漏系统,在不影响生产线正常运行的前提下对有大量数据输出行为的人员进行实时监控和告警。第四步是建立员工行为基线安全审计,通过日志分析工具对所有生产操作系统的用户行为进行常态化审计,及时发现离职前突击下载文件、非工作时间大量访问等异常行为。除此之外北京企密安还提供全面的员工保密意识培训和离职面谈合规服务,从技术手段、制度建设和人员意识三个维度同步提升工业企业的商业秘密保护能力。如需进一步了解制造业保密解决方案,欢迎致电010-63711822或访问baomiwang.com。

案例来源:Tesla, Inc. v. Martin Tripp, Case No. 3:18-cv-00296 (D. Nev.) / SEC Filings & Court Records
内容类型:全球偷拍100例系列