3月10日，特斯拉一天內產生了兩條微博熱搜。

一是車主反饋剎車失靈而坐車頂維權，屬于客戶糾紛類的；

二是媒體爆料稱特斯拉上海工廠內部的監控視頻被泄露，造成場內生產狀況被曝光，原因是某國際黑客組織入侵了特斯拉合作伙伴——安防系統初創公司Verkada的數據庫，獲得了15萬個攝像頭視頻內容，其中就包括了在特斯拉工廠和倉庫的222個攝像頭數據。

對此特斯拉立即回應稱：此次黑客的入侵范圍僅涉及河南一處特斯拉供應商生產現場，此工廠使用了少數Verkada品牌攝像機用作遠程質量管理，其他如上海超級工廠與此并不關聯，且其他攝像設備均接入公司內網而非互聯網。目前，特斯拉已停止了這些攝像頭的聯網，并將進一步提升各環節的安全把控。

Verkada亦在官網表示，攻擊者在2021年3月7日開始獲得服務器的訪問權限、攝像頭的訪問權限和客戶名單，并一直持續到3月9日中午左右。此后，公司已經禁用了所有內部管理員賬戶，安全團隊正在展開深入調查，并通知了美國執法部門。

而在所有公司做出事后反應時，對該事件負責的黑客組織成員蒂莉·科特曼（Tillie Kottmann）接受采訪表示，入侵Verkada攝像頭的方法并不復雜，僅僅是在互聯網上發現了一個公開的管理員賬戶的用戶名和密碼就進入了Verkada網絡內部，甚至他們還能獲得攝像頭的root權限，可以利用攝像頭執行自己的代碼。據悉，此次事件中被曝光的企業、機構不僅有上海的特斯拉工廠，還覆蓋了多國的醫院、診所、公司、監獄、學校等場所，甚至還有廠家Verkada本身辦公室內的視頻資料。

科特曼表示此舉的目的是向大眾展示視頻監控的普及程度以及系統是如何被輕松入侵，目前并未給波及單位造成明顯商業損失。但，把話題擴大拉長，我們理應對物聯網安全保持應有的關注與慎重。

一方面是各類隱私泄露事件不斷發生，首先就造成消費者對使用網絡攝像頭的顧慮逐漸增多，以及懷疑像Amazon Echo那樣的智能音箱設備是否會監聽“我”的所有對話；另一方面，就像去年12月Forescout的安全研究人員披露了四個開源TCP/IP庫中的33個安全漏洞，表示其影響了150多家供應商的超過100萬個智能設備和工業互聯網產品，這證明在企業層面也存在無法忽視的安全隱患。

矛盾點是：部署安全防范與廣鋪業務賺錢，魚與熊掌不可兼得？

在科特曼的采訪陳述中提到一句非常具有個人感情色彩的話：

“安全攝像頭公司只追求利益，疏忽了對網絡安全的防護?！?/p>

實際上，Verkada成立于2016年，主營安全攝像頭業務，產品亮點包含了使本地安全攝像頭遷移到云端，支持客戶通過網絡進行訪問和管理；以及支持AI視覺技術，能分辨出視頻中的人臉和車輛并對其進行檢測和識別。2020年1月，公司獲得8000萬美元的融資，投后估值達16億美元，其客戶范圍也發展到了千家以上，涵蓋學校、企業、零售、酒店、醫療保險等行業。

在物聯傳媒早前的文章中提到，智能網絡攝像頭是一個很龐大的存量市場，具有產業基礎扎實、產業需求明確、產品容易做出來、市場空間大、具有良好的場景延伸能力五大特點，涉及到交通、安防、社區、商場、民用等場景都可以做挖掘深入。

在早期IHS Markit視頻監控情報服務提供的一份數據中，全球視頻監控市場收入2019年將達到199億美元，高于2018年的182億美元，增長率達9%。此外，2017年增長率為9.3%，2018年增長率為8.7%。這是繼2016年和2015年分別取得3.9%和1.9%的小幅增長后，全球視頻監控市場連續三年迎來大幅增長。

Verkada也是踩著關鍵的窗口期成立的，并且在剛成立到發展得還不錯這段時間里，Verkada首席執行官Filip Kaliszan曾說，他看到了許多因快速發展的消費者市場而誕生的攝像頭，但其中很大一部分的技術都已經過時了，包括他們的安全理念，僅僅為了確保沒有人可以未經授權就接觸到監視系統的磁帶和監視器實體。

雖然世界上從來沒有絕對的安全，但對于早已認知并了解安全問題的Verkada公司，在2021年暴露出那樣一個簡單的漏洞給外界可乘之機，這終歸是讓人有些遺憾。

而其中的緣由，并不是一家企業的問題，甚至是整個行業都不甚清楚應該抱著何種態度對待事前的安全防護。在弄清楚之前，以業務增長為優先無可厚非。

而且，實現網絡安全其實并沒有什么一勞永逸的辦法。及時對危害事件作出回應，持續查殺漏洞并更新補丁和固件，對網絡安全投入應有的資金與人力是必要之舉。Verkada是如此，?？荡笕A也是如此。

每一次網絡安全事件都應是一條學習經驗

2016年“美國東部大斷網”事件，是利用了數十萬臺受到僵尸網絡感染的聯網設備，比如路由器、攝像頭，通過持續的掃描漏洞，操縱肉雞的方式，向目標發送合理的服務請求，就此占用過多的服務資源，使服務器擁塞而無法對外提供正常服務。

2018年臺積電的病毒感染事件，導致重要的高端產能廠區停產停線，其實是臺積電犯了3個錯誤：1）進入產線的新設備帶有病毒，且未被查殺；2）負責關鍵生產設施的電腦搭載的是老舊的Windows 7系統，且沒有打補丁；3）沒有關閉設備445端口，使病毒輕易入侵。

2019年德國杜塞爾多夫醫院遭受勒索軟件攻擊之后，德國網絡安全機構BSI向外界發出的警告是——要求德國公司和機構針對CVE-2019-19871漏洞（勒索軟件的已知入口點）更新其Citrix網絡網關。

2020年富士康在墨西哥的工廠遭遇勒索軟件攻擊之后，促使其內部資安團隊加緊完成軟件以及作業系統安全性更新，同時提高資安防護層級。

從這一路跟蹤的情況來看，網絡安全事件一直在發生，甚至一些廠商也能用被動防護的態度降低損失至最小。但一旦發生像臺積電那樣影響公司營收的情況，卻又是追悔莫及。

有一句話說了很多次，現如今黑客或病毒所攻擊的對象，已經從個人PC、防護能力較弱的傳統企業、政府、學校網站等，擴散到萬物互聯時代的工廠、工業設備、智能攝像頭、路由器等眾多類型上。

也許現在，我們并沒有辦法光靠口號就讓全行業都對安全有足夠充分的認識，但回顧這幾年陸續發生的事件，總當是可以吸取經驗教訓，逐步提升安防能力和意識的。

有望從政策標準方面給予推動

2019年1月，日本總務省對《電氣通信事業法》進行修正，要求自2020年4月起要求聯網終端設備須具有防非法登錄功能，例如能切斷外部控制、要求變更初期默認ID和密碼、可時常更新軟件等，且唯有滿足標準、獲得認定的設備才能在日本上市。

2020年1月，英國國家網絡安全中心指定舉措，要求消費物聯網的制造商必須采用獨一無二的密碼，而非默認的出廠設置；并提供一個公開的接入點來報告漏洞；以及說明設備獲得安全更新的最短時長。

2020年9月，澳大利亞政府發布《實踐準則：為消費者保護物聯網》，以13項原則為基礎， 鼓勵制造商提高物聯網設備的安全性，以及鼓勵消費者在購買智能設備時考慮安全功能。

同年9月，美國眾議院通過了《2020年物聯網網絡安全改進法案》，要求聯邦政府購買的所有與互聯網連接設備（包括計算機、移動設備和其他具有互聯網連接能力的產品）必須符合美國國家標準與技術研究院（NIST）發布的最低安全標準。

2020年11月，歐盟網絡安全局（ENISA）發布了《物聯網安全準則》，旨在幫助物聯網制造商、開發商、集成商及所有物聯網供應鏈的利益相關者在構建、部署或評估物聯網技術時做出更好的安全決策。

所有的跡象都表明，全球范圍內，從政府采購、消費者購買到制造商本身，都處于一個物聯網安全意識增長的階段。

其實有理由相信，未來相關主管部門將持續推動并完善安全標準，物聯網安全產業終將有更明朗的未來。

原文標題：起因222個攝像頭，特斯拉工廠教會IoT行業的事

文章出處：【微信公眾號：物聯網技術】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq