某科研院所承担着一项新型材料工艺的研究项目,实验室里进行着核心工艺的试验和调试。由于实验室对洁净度和安全性的要求很高,内部安装了多台网络监控摄像头,用于实时观察实验进程和设备运行状态。这些摄像头用的是实验室内部网络,通过一个集中管理平台来查看画面。研发人员为了方便,把监控平台接入了互联网,方便他们在家或者出差时也能看看实验室的情况。
这个管理平台的账号密码是项目组默认设置的,一直没有改过。更麻烦的是,这个平台还存在一个已知的安全漏洞,只要发一个特殊构造的请求就能绕过登录直接看画面。国外某个网络安全研究机构通过自动化扫描工具发现了这个暴露在互联网上的监控平台,只用了不到一小时就攻破了系统,实时画面全部被下载。他们不仅看到了当前的画面,还把过去几个月的录像也一并获取了。
从这些画面里,对方不仅能看到实验设备的型号、布置和实验操作流程,还能从实验过程中投料的种类、顺序和反应装置的温度变化大致推断出工艺路线和配方范围。也就是说,实验室里的每一炉材料、每一次调试都等于在别人眼皮底下进行的。这些画面后来被上传到了境外技术论坛和暗网,研究所直到半年后从行业交流中听到有人在讨论"某所的新材料工艺"时才意识到出了问题。这时候竞争对手已经把类似的产品路线走了快一半了,科研团队数年的心血几乎拱手送人。
泄密链路的起点是办公设备接入互联网的安全意识问题。很多研发机构觉得实验室监控只是辅助设备,不需要太强的安全保护,结果恰恰是这些小设备成了信息泄露的突破口。网络摄像头默认密码、已知漏洞不修复、直接暴露在公网上,这三样任何一样都能出事,这三样凑在一起就是灾难。而研究机构往往把全部精力放在核心技术的研发上,对物联网设备安全这种"小问题"基本不闻不问,结果吃了大亏。一个默认密码没有改,就把整个项目的核心信息暴露给了全世界。
物联网设备的安全问题已经不是新鲜事了,但在科研和工业领域还有很多人在忽视它。所有联网设备都应该执行严格的安全基线——改默认密码、及时更新固件、建立独立的安全网络分区、严格控制公网暴露面。实验室涉密区域的监控画面,应该存储在内部网络中,不接入互联网,或者至少通过加密隧道和严格的身份验证才能访问。科研单位的网络安全部门也应该定期扫描公网暴露面,及时发现和关停不该暴露在外的设备。一分钟的方便,可能换来数年的心血付诸东流,这个代价实在是太高了。安全投入不是成本,而是保险。花几万块钱做好网络安全防护,就能避免几千万的研发成果被泄露,这笔账怎么算都是划算的。但很多科研机构的负责人在事故发生之前,总是觉得安全投入是"浪费钱",直到出了事才后悔莫及这一辈子都无法原谅自己。
