擁有 Chrysler、Jeep 及 Peugeot 等品牌的 Stellantis 集團 9 月 22 日證實,支援其北美客戶服務的第三方供應商平台遭黑客入侵,導致客戶聯絡資料外洩。同期 Jaguar Land Rover (JLR) 因 9 月初遭受網絡攻擊,全球生產線停擺超過 3 星期,預計損失達 13.6 億美元。
Stellantis 發言人表示,公司發現事件後立即啟動應變機制,展開全面調查並採取措施控制情況。執法部門已接獲通報,受影響客戶亦會直接收到通知。集團強調外洩資料僅限於姓名及電郵地址等基本聯絡資訊,金融資料或其他敏感個人資料並無受影響。
公司警告客戶需提高警覺,防範黑客利用竊取的聯絡資料進行網絡釣魚攻擊。客戶收到可疑電郵、短訊或電話時應避免點擊不明連結或分享個人資料。Stellantis 建議客戶透過官方渠道直接聯絡公司核實任何通訊內容。
汽車業網絡安全專家指出,2024 年早期汽車業網絡攻擊較去年同期上升 50%,當中勒索軟件及資料外洩事件佔總數 88%。業內人士認為,汽車製造商日益依賴數碼化系統及第三方服務供應商,令整個供應鏈的網絡風險顯著增加。
JLR 生產癱瘓波及供應鏈 工會促政府推出支援方案
英國豪華汽車製造商 JLR 的情況更嚴峻。公司 9 月 1 日偵測到網絡入侵後關閉內部系統,全球生產線隨即停頓。JLR 管理層 9 月 17 日宣布延長停產期至 9 月 24 日,因為法證調查仍在進行,重啟全球營運需要分階段進行。
停產影響遍及英國 Halewood、Wolverhampton 及 Solihull 等主要生產基地,以及全球其他廠房。英國廣播公司報道,JLR 停工每週造成至少 5,000 萬英鎊(約港幣 5.1 億元)損失,每週減產約 1,000 輛汽車。業界消息指生產中斷可能持續至 11 月。
事件對供應鏈造成連鎖效應。汽車零部件供應商報告訂單取消及付款延誤,經銷商無法使用零件訂購系統或完成客戶交易。專門為 JLR 供應玻璃車頂的英國製造商 Webasto 已停止廠房運作,該公司在西米德蘭茲郡僱用 350 名員工,管理層警告可能需要裁員。
英國最大工會之一 Unite 呼籲政府參考疫情期間做法,為受影響工人推出休假補貼計劃。英國汽車製造商與貿易商協會 (SMMT) 聯同商業及貿易部 9 月 19 日召開緊急會議,直接聽取供應商面對的挑戰及關注事項。
雙方發表聯合聲明表示,網絡事件對 JLR 及更廣泛的汽車供應鏈造成重大影響。政府包括網絡安全專家正與公司聯繫,支援恢復生產營運,並與 JLR 緊密合作了解對供應鏈的影響。
黑客組織 Scattered Lapsus$ Hunters 聲稱對 JLR 攻擊負責。該組織在 Telegram 頻道發布 JLR 內部 SAP 系統截圖,聲稱已在公司系統部署勒索軟件。網絡安全研究人員指該組織與 Scattered Spider、Lapsus$ 及 ShinyHunters 等勒索軟件集團有關聯,曾對多間知名企業發動攻擊。
汽車業成黑客重點目標 企業需加強網絡防護投資
網絡安全公司 Upstream 報告顯示,2024 年汽車及智能流動生態系統錄得超過 400 宗公開報道的網絡事件,包括 108 宗勒索軟件攻擊及 214 宗資料外洩事件。當中最嚴重事件是 6 月份 CDK Global 遭勒索軟件攻擊,該公司為美國 15,000 間汽車經銷商提供軟件服務,攻擊導致營運停頓近 3 週,損失估計達 10.2 億美元(約港幣 79.6 億元)。
研究顯示 65% 公開報道的網絡事件由惡意黑客發動,92% 攻擊透過遠程方式執行,當中 85% 屬長距離攻擊無需接近目標。汽車遠程資訊處理及應用程式伺服器成為主要攻擊目標,相關事件由 2023 年的 43% 上升至 2024 年的 66%。
電動車及充電基礎設施亦面臨新威脅。2024 年底 Volkswagen 軟件漏洞導致約 800,000 輛電動車位置資料外洩,黑客可追蹤司機準確行蹤並存取電郵、電話號碼及地址等個人資料。研究人員發現 Kia 網站漏洞容許黑客遠程存取及控制數百萬輛汽車,包括解鎖車門、啟動引擎及追蹤車輛位置。
2024 年初黑客攻擊電動車充電器與充電點營運商管理系統之間的通訊系統,暴露通訊協議漏洞。攻擊者可遠程停止充電、安裝惡意韌體及向用戶收取未經授權費用。
法規追不上威脅演變 業界需採主動防禦策略
Upstream 行政總裁 Yoav Levy 表示,網絡威脅演變速度超出業界應對能力,法規驅動的措施跟不上威脅發展。黑客已轉向大規模、複雜及人工智能驅動的攻擊方法,目標除汽車外還包括電動車充電基礎設施、API 驅動應用程式及智能流動物聯網裝置等互連系統。
業界專家認為,聯合國歐洲經濟委員會 WP.29 法規及 ISO/SAE 21434 標準雖然確立最低網絡安全要求,但無法完全應對不斷演變的網絡威脅。監管合規與實際網絡安全韌性之間出現日益擴大的差距,業界需要採取更主動的防禦策略。
預測顯示全球網絡犯罪損失將由 2021 年的 6 萬億美元增至 2025 年的 10.5 萬億美元,每年增長 15%。汽車業因網絡攻擊可能在 2024 年面臨 5,050 億美元損失。到 2025 年全球將有超過 4 億輛聯網汽車運行,網絡威脅規模將進一步擴大。
汽車製造商需要重點加強幾個範疇的防護措施。API 安全及漏洞管理可防止大規模 API 驅動攻擊。增強勒索軟件防禦策略包括網絡分割、端點安全及威脅搜尋能力。業界亦需加強合作,利用威脅情報團隊、行業組織及安全供應商的見解。
投資者開始重視汽車公司的網絡安全框架評估。分析師建議避免過度集中投資網絡安全態勢薄弱的汽車製造商,優先選擇具備穩健事故應變計劃及符合監管要求的公司。部分投資者利用衍生工具或交易所買賣基金對沖汽車業特定波動風險。
隨著汽車日益智能化及聯網化,軟件定義汽車面對的網絡安全挑戰愈趨複雜。車載系統包括電子控制單元、資訊娛樂系統及先進駕駛輔助系統,成為最大及最易受攻擊的範疇。雲端基礎設施依賴度上升令該範疇漏洞增加,汽車面臨潛在大規模攻擊風險。
汽車業數碼轉型帶來效率及創新,同時引入新風險。單一網絡攻擊可產生深遠影響,破壞整個網絡並暴露整個汽車生態系統的漏洞。業界需要在技術進步與網絡安全之間取得平衡,確保消費者在日益數碼化汽車世界中的安全、私隱及信任。
