撰文 / 刘宝华 编辑 / 张 南 设计 / 赵昊然 "中国证监会坚定支持企业根据自身意愿自主选择上市地。" 4月2日,证监会会同财政部、国家保密局、国家档案局就修订《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》(以下简称《规定》)公开征求意见,证监会相关部门负责人做出如上表示。 此次《规定》的修订旨在进一步加强境内企业境外发行上市相关保密和档案管理工作,明确上市公司信息安全责任,维护国家信息安全,减少不必要的涉密敏感信息进入工作底稿,提高跨境监管合作的效率,体现了统筹开放与安全的理念,将促进中国境内企业境外发行证券和上市活动有序开展。 修订版删除了原《规定》关于"现场检查应以我国监管机构为主进行,或者依赖我国监管机构的检查结果"的表述。 在美股中概股遭遇集体重挫的背景下,修订《规定》为中概股带来变量。 "这说明监管部门还是鼓励企业走出去,这个原则没有变。对海外上市企业不能简单说是利好,是出现了明显不利好的因素后,国家监管机构在想办法与国外监管机构沟通,希望尽量消除对中概股的打击。说利好为时过早,情况还不明朗。"一位安全专家如此评价。 该专家认为,国内对隐私保护、数据安全,对企业责任和义务的监管越来越强、更加保姆式。有些赴海外上市的企业可能会被划定为中国关键信息基础设施(CII),一旦被归入这类企业,对企业的安全要求会非常高。 对产品数字化、网联化、智能化属性越来越强的汽车企业来说,数据是其未来商业闭环的基础,车企对数据的保护越来越重要和关键。 2021年7月初,刚刚完成海外上市的滴滴出行被网络安全管理部门启动审查、滴滴App下架、母公司小桔科技旗下25款App下架,引起行业的广泛讨论。 汽车商业评论第一时间就该问题与任职腾讯安全的上述专家探讨,探讨内容未发表。9个月后,《规定》修订再次触及海外上市企业安全问题,而回看该专家(应匿名要求,我们称之为X)的解读并未过时。 当时广泛传播的观点认为美国管理机构对在美上市公司审计底稿的规定会让滴滴泄漏大量涉及国家安全的数据。 对于这个说法,X认为,首先审计底稿不会有这么详细的业务数据,其次,滴滴也不会提供相当于自己核心命脉的这些数据。滴滴的核心风险很可能在于供应链攻击,也叫供应链投毒。也就是如果供应链中有设备暗藏了后门,就有可能被黑客或其他机构攫取敏感数据。 X还介绍了近年来汽车行业面临的数据安全问题,随着产品和企业数字化的加深,车企对数据安全极度重视,都在不惜重金进行汽车网络与数据安全建设。但数据安全仍然是全行业面临的核心问题之一。 以下是汽车商业评论与X探讨实录,有删节。受访者观点不代表汽车商业评论。 核心风险可能是供应链投毒 汽车商业评论:现在大部分分析认为问题出在审计底稿上,里面会有一些数据比较敏感。 X: 审计里面会有企业的核心东西,比如说采购了哪家的硬件服务器,采购了哪家软件服务器,在网络安全攻击层面,这叫供应链攻击。 比如说从审计底稿查到企业招投标数据,招投标里面会显示公有云、私有云这些核心的支撑业务的云。包括公司的网络设备,网络里的安全设备、防护设备,安全用的审计设备都是哪家厂商的。 如果这里面涉及海外厂商,有可能会存在问题,因为不会都像微软一样。微软在中国为了避免安全风险,它有一个透明中心,在北京,原代码完全开放给官方,让官方做审计的。其它公司没有开放原代码给监管做审计,所以不知道原代码藏了多少后门,只要是海外的设备,就有可能潜在一定的风险。 从数据层面能看到的东西太多了,从更高的战略层面看,出行公司这些出行数据在一二线城市,这些交通出行数据,会不会判断你底层国家经济、国民生活状态、社会健康状态的核心的数据指标呢?这都是数据的很多维度的。 问题核心是在于这,如果审计底稿里出现这些问题的话,最核心的是采购的网络设备,还有云计算和机房的设备,看你有没有相关的问题。 汽车商业评论:之前大家猜测滴滴最敏感的两类数据,一类是高精地图,一类是司乘人员。 X: 重要的是第三类,刚刚我们说设备到底采购哪家的,是不是完全国产可信,是不是受到审计的监管,会不会出现后门的问题,这也很重要。这些设备支撑的整个互联网体系是非常复杂的,公有云,私有云,网络设备是他们最主要的成本,一个机房有可能是好几十亿,公有云像滴滴可能一年高达数十亿元。 汽车商业评论:有后门可以通过后门拿数据? X: 在底稿里面会有公司招投标和采购的清单,会提供设备的厂商和型号,如果这些设备都是国产可信都是可以的,但是这些东西如果被黑客拿到,有可能会有一个风险,从这些供应链对抗的角度看,这叫供应链打击,也叫供应链投毒,美国石油运输管道系统遭遇攻击,都是通过供应链打击的。 举个例子,一个企业不可能所有的软件硬件全是自己的,一定有外采的。外采的同时可能没有审计,可能是忽略,外采软硬件没有开放源代码。车企就是典型的例子,为什么陈虹说不跟华为合作,因为他拿到的都是黑盒,包括目前所有车企,除了自己能够控三电,只要外采拿到的都是黑盒。供应链如果全是黑盒,自己没有审计能力的话就会出现问题,一定会出现问题。 只要一审计一测试一定会出现问题,代码的层面,从安全的角度说,越开放越透明,行业内的白帽子给你测的越多越安全。但是有一些设置因为产业各方面因素是不可能开放的。所以这些问题很多时候是无解的问题。甚至现在通用主流的开源代码都存在极大的不稳定和安全隐患,近来就发生了数起影响全球信息系统的重大安全漏洞被披露,包括Spring和log4j2。 比如说这些底稿里出现的信息,国外的黑客组织,会不会定点地针对这些供应链打击,供应链的管控强度肯定不如滴滴,因为滴滴是互联网公司,管安全的是很核心的生命线,如果对供应链投毒打击,这种造成的危害性不可估量。 汽车商业评论:怎么个投毒法? X: 举个例子,所有的软件版本都要升级,供应商的软件升级,做OTA推送,经过了数字签名,所有的权限、加密型的东西全都是通过的,如果推一个带后门的包,对方一般都会正常安装,发现不了。 汽车商业评论:有后门就能攫取你的数据? X: 很复杂。5年前这个趋势就很明显了,现在这个东西随着我们做的深入慢慢也看到了,商战的核心有时候也是要依靠这些东西去搞。我们有一些项目,就是企业让我们审计他们的内网,就是怕外部的黑客通过N个途径打击他的内网。 企业不会随便交出核心业务数据 汽车商业评论:三种敏感数据。 X: 三个层面,我觉得第一个层面的维度是各家都意识不到的,供应链投毒这种东西估计大家都不知道这个是什么。 汽车商业评论:前两个大家更容易想象到。 X: 你想象这个数据得多大,怎么提交。 汽车商业评论:审计会审计到这么细吗? X: 招投标采购建立这些东西是要有备案和底子的,这些信息链只要一综合起来利用都会形成被攻击的脆弱项。 汽车商业评论:地图和人员的数据呢? X: 滴滴不可能傻到直接把数据拿走,推断这个没有用,这两个数据最不可能成为推断的方向的。审计底稿这些数据,到底哪些能构成真正的安全层面的东西。不可能直接给数据的,滴滴也会有理由拒绝SEC提取这样的数据,这个理由会很充分,不可能SEC说为了让你上市要求你做出违反本国法规的行为,这个不成立。 汽车商业评论:那人员产生的数据有什么用? X: 各家对于数据按理来说应该是有加密、脱敏处理的,但实际上通过一些经验来看,第一,这个事行业里缺乏最佳实践的指导,第二,这个事非常耗费成本,第三,如果没有敏感数据的泄漏的话,如果企业不说外面也不知道,企业对数据有没有做脱敏处理、大数据治理,到底有没有花很高的成本做这件不太好做的事,你不知道,外界也不知道。 汽车商业评论:你脱没脱敏别人不知道。 X: 不是脱没脱敏,是大数据你做没做治理,分门别类,保存各方面,是不是很有规章制度。行业太复杂,每个行业的存储利用,生产环境都不一样,有的要求数据的高频化实时应用,有的要求二次应用,搞AI,每个行业利用的场景都不同的情况下,不可能有非常强非常好的行业最佳实践指导这个事情的落实。这是又花钱又不好搞的事,大家在不出现数据泄漏的情况下搞没搞都不知道,对外都会说搞了,就是这个逻辑,不出事的话,出了大事可能是直接拖库了,就是你的数据库直接被拖走。 高精地图完全不关键,如果人家把供应链攻击这些信息都掌握了,从我们的角度来看,我们认为是这样的,我们推断这些数据不会直接给,就SEC要,滴滴也不会给,不会傻到这种程度,自己把自己逼死,他自己也会了解一些这些数据在二次衍生利用层面,对公共安全可能是会造成广泛影响。 指引精确打击的武器不一定需要高精度地图数据,地图是软体数据,GPS和北斗等定位数据标记到地图上才会有效,这不是一个简单的高精度地图就能暴露的复杂问题。 汽车商业评论:他不会给,如果从第三方审计机构审查已经不由他了。 X: 他不会审查这些数,这些是业务数据。比如瑞幸被做空的时候,也是调查机构自己去蹲守调查,对照公开数据,判断出这里有作假。数据是企业最核心最值钱的东西,数据和代码,这些数据是滴滴可以做二次变现的。 互联网企业有了广泛的用户群体想盈利,最快的三种途径,一是把这些用户导到我的游戏上,登录方便,第二导给电商直接买东西,推荐东西,第三做金融,贷款,来京东白条也好,美团贷款,滴滴贷款也好,这叫二次利用。 这对于他们来说是最最核心的,谁也不会给,美国也没有理由直接审查核心数据库的东西,除非遇到极其重要的事情,不然的话没有人有任何的权力能够动企业这样的核心的数据的,企业也有很强的自我保护意识。 汽车商业评论:也不会给审计机构。 X: 不可能给,这些数据,我相信99%是不会给的,第二核心的点是在于我审计底稿暴露出来可能是会成为攻击面的东西。前两点(地图数据和人员数据)甚至可以推翻,这些数据是不会外流的,包括数据对他的核心意义,谁会直接——滴滴内部也没有几个人,有正常权限直接有可读权限这些数据,应该有非常强的管理和封闭的途径的。 数据会成为车企的价值核心 汽车商业评论:汽车企业数据安全方面有什么大的问题? X: 汽车企业复杂得很,汽车产业链里面所有的供商不是主机厂控制,可能有黑盒,黑盒容易出问题。 汽车商业评论:以后最有价值的是数据。 X: 数据才是核心。 汽车商业评论:车企最大的风险在于黑盒子问题,数据可能是被人拿到? X: 这个只是一方面,另外一方面是现在车企都舍得花钱,之前是不舍得花钱,他们认为安全是成本中心,没有意识到在数据体量越来越大,数字化程度越来越加深,信息化越来越加深的今天,安全的重要性远远不止是成本的问题,它是你最后一道防线,是你很好的保护,是一个保护壳。 目前这块,车企还是在不遗余力地争取更多行业人才加入,并且砸重金进行建设,因为这个涉及到OEM蔚来的底层商业逻辑和变现核心,车联网数据也是一样的。 蔚来也是几百万几百万地招这样的人,市面上懂汽车的安全研究员不多,很稀有,懂汽车也懂安全的更少。车企花这个钱也值的,对顶尖的安全的研究人员,他们不像在国企工作的人,他们需要创造力,需要有非常适合的土壤,互联网公司适合他们,他们可以不用打卡,可以下午起来上班,工作特别晚回去,他们工作时间,各方面比较自由,支持比较好,国企各方面体制都不太好施展他们的才华,这个会有一定的冲突。 现在从各方面的角度大家认识到这问题了。以前车企没有这个钱也不了解这些,是通过外包帮他解决这个问题,现在大家都认识到了,这个问题要自己在控了,最核心的东西自己不控这个事就很麻烦了。 汽车商业评论:国内哪几家最重视这个事? X: 国内现在所有厂家都非常重视,从2017年、2018年我们做业务的时候,主要是做的通用、泛亚、新造车势力头部那几家,因为他们完全是从互联网模式转型过来,是非常深知有这个层面的重要性的。你也能看出来这几家头部是未来一定要好好做车真正要卖的,当时我们就判断,谁做项目做得更积极更好,谁一定是未来的头部,蔚来最积极,其次是小鹏、威马、理想他们。 汽车商业评论:除了黑盒子,车企未来和数据相关的还会有什么问题? X: 车企自身的安全是不是做的足够好,你提这个问题所有人都会说做得很好,真实层面做得都很差。多少年历史遗留的问题不太重视,想通过短短这几年改造很困难的,不是花钱就可以成功的。 汽车商业评论:车企找你们做这个事大概哪年开? X: 2016年开始。科恩在全球培育了整个汽车安全的觉醒,破解特斯拉、宝马,2016年简单做物理接触的研究,2017年可以远程非物理接触直接破解。对行业的引领教育我觉得科恩功不可没,是很有话语权的,从逻辑性、技术性各方面选择也是很牛的,现在产业也足够充分意识到这些问题了,至于未来的建设怎么做,这个命题就比较大。 汽车商业评论:特斯拉、新势力这方面做得比传统企业好多少? X: 单论好坏可能是有很多维度,我觉得从成熟度,对这个东西的理解程度,可能是更快更深一些,毕竟以前是写代码做互联网出身的,对这些东西的敏感性和认知性要稍微深一些,好一些。 本文由汽车商业评论原创出品 转载或内容合作请联系说明 违规转载必究