将车辆无线连接到云和云之间的最大优势之一是它为大量数据带来的可见性。像优步,Navistar和特斯拉这样多元化的公司已经采用了互联技术,允许他们监控他们的资产,远程与车辆进行通信,甚至让整个车队的集体智慧训练自主算法。
然而,拥抱连接及其产生的大数据带来了巨大的风险:无线连接将黑客像飞蛾一样吸引到火焰中,随着数据的积累,它变得越来越有价值。美国企业界清楚地意识到,网络安全比现实更具吸引力:银行遭到黑客攻击,国防部遭到黑客袭击,甚至国家安全局也遭到黑客袭击。
企业已经意识到,由于几乎不可能实现绝对安全的连接网络,因此他们必须考虑在软件产品发布之前简单地尝试消除漏洞。不可避免地会发现漏洞。挑战在于如何应对漏洞。
优步的方法受到许多大公司的青睐:首席安全官负责监管“虫子赏金”计划,发现漏洞的黑客可以向优步披露这些漏洞,以换取大笔金钱奖励(优步的情况通常限于10,000美元)。但故事并没有就此结束。根据漏洞的类型,可能需要通知员工,客户和其他合作伙伴。
2016年11月,优步的首席安全官Joe Sullivan收到了来自“John Doughs”的电子邮件,该邮件报道了优步软件的一个漏洞,使5700万司机和车手账户面临风险。 Uber在同年早些时候推出了它的bug赏金计划,并且在Doughs电子邮件到达时已经向数百名黑客支付了奖励。优步最终向面团支付了10万美元,但直到一年之后才报告违规行为。
事实证明,这一漏洞甚至不是那么复杂:优步工程师一直在使用Github存储备份代码,包括配置文件和私钥到Uber的亚马逊网络服务服务器,这些服务器大部分公司的数据都存在。黑客 – 一个住在佛罗里达州拖车公园的人,名叫布兰登 – 找到了钥匙并开始挤压优步的钱。最终,当时的首席执行官特拉维斯卡兰尼克批准了黑客的异常高额付款。
一些州检察长起诉优步,指控这家乘坐公司掩盖黑客行为。
昨天,优步解决了这起诉讼,同意向所有50个州支付1.48亿美元,华盛顿特区优步的首席安全官沙利文和直接监管黑客付款的律师都被解雇,当时外面的律师事务所告诉优步,违规应该是已经向受影响的人和政府官员披露过。
尽管如此,和解并不是优步的结束 – 司法部也正在调查优步未能在单独的刑事调查中披露违规行为。
所有这些对于数据密集型公司意味着什么?这意味着网络安全不仅是保护公司运营和资产所必需的昂贵的持续投资,还意味着必须建立法律程序来应对漏洞,并以公开,透明的方式减轻损害。
连接车队的规模和网络效应及其产生的数据已成为价值和风险的倍增,对市场和人群行为的指数增长,但潜在受害者和诉讼当事人的数量。
“这一切都不应该发生,我不会为此找借口,”优步首席执行官Dara Khosrowshahi在一篇博客文章中写道,当优步去年承认黑客入侵时。 “虽然我无法抹去过去,但我可以代表每个优步员工承诺,我们将从错误中吸取教训。”
