工业信息安全十大事件

2024年6月12日发(作者：)

工业信息安全十大事件

一 2018年工业互联网创新发展工程项目（安全方向）

入选原因：工业互联网创新发展工程项目（安全方向）涉及综合保障、监测和态势感知、应

急协作指挥、数据安全防护、测试验证环境等建设，有利于提升工业互联网安全保障能力，

为工业互联网发展、两个强国建设提供坚实保障。

6月12日，工业和信息化部、财政部遴选了93个工业互联网创新发展工程项目，其中安全

方向有28个项目，分为工业互联网安全技术保障体系建设、工业互联网安全评估测试与试

验验证环境建设、工业互联网安全共性服务能力建设与推广应用3个任务，重点支持研制安

全标准规范，推动安全技术手段建设，促进安全产业发展，全面提升工业互联网安全保障能

力。

二 三一重工泵车失踪案宣判

入选理由：此次内鬼盗窃控制器源代码而导致失联的案件是我国首例工程机械黑产案，波及

多个省份，直接经济损失达3000余万元，间接损失近十亿元。此次事件警醒工业信息安

全，特别是从控制层开始的信息安全，需要越来越受到重视和关注。

6月25日，长沙市中级人民法院对三一重工泵车失踪案进行了终审判决，主犯犯有破坏计

算机信息系统罪、传授犯罪方法罪，判处有期徒刑4年6个月。

从2016年3月起，三一重工销往全国各地的设备突然失去联系，连接设备的远程监控系统

（简称ECC系统）被人非法解锁破坏，使得公司对在外的工程机械设备失去控制。随着时间

发展，无故“消失”的设备越来越多，数量多达近千台。

由于一些客户是以“按揭销售”的形式购买设备，三一重工出售的每台设备上均安装了GPS

系统。当客户未按照合同约定按时支付款项时，三一重工可通过平台发送锁机指令至该GPS

终端，使设备无法正常使用。而系统被破坏后，三一重工失去了对设备的控制。系统被破

坏，对设备本身工作性能没有影响，但会影响系统对机器的故障诊断与信息回传，也无法传

递设备工况数据，并且会导致一些客户恶意拖欠公司货款。

据统计，该犯罪团伙作案造成三一重工股份有限公司近10亿元经济损失。此案的成功侦

破，共为企业挽回直接损失3000余万元，其中包括现金回款、折抵设备等。

三 百余家车企的157GB机密文档泄露

入选理由：包括通用汽车、福特、丰田、特斯拉等在内的100余家汽车制造企业的机密文件

发生大规模泄露，可能造成破坏生产过程、不公平竞争等严重后果。

7月23日，加拿大Level One Robotics and Controls（以下简称Level One）发生数据泄

露，包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田和大众在内的100余家制造企

业，共有大小为157GB、数量超过47000个的机密文件遭泄露。泄露数据包括各个汽车制造

商的工作研发计划、产品设计原理图、装配线原理图、工厂平面图、消费者发票合约信息、

采购合同等敏感信息。

数据泄露的原因是Level One公司在使用远程数据同步工具rsync处理数据时，备份服务器

没有限制使用者的IP地址，并且未设置身份验证等用户访问权限，因此任何连接到rsync

端口的rsync客户端都能访问到备份服务器，从而下载备份服务器中的数据。

对于汽车制造商来说，产品信息、工厂布局、自动化作业以及合同等是公司的高度机密，一

旦这些机密泄露，就会被竞争对手以及恶意分子利用，进行不公平竞争甚至破坏汽车制造过

程。

四 勒索病毒导致台积电生产停摆

入选理由：曾对全球消费互联网造成重大威胁的WannaCry勒索病毒，同样能对工业生产造

成重大影响。台积电产线停摆再一次为工业信息安全敲响警钟。在发展工业互联网的背景和

万物互联的趋势下，需要深刻认识工业信息安全的重要性。

8月3日晚，台湾积体电路制造有限公司（以下简称台积电）位于台湾地区北、中、南三处

重要生产厂区的部分计算机及设备感染病毒，造成生产线停止运行。截至8月5日下午2

点，该公司约80%受影响设备恢复正常，至8月6日下午，生产线全部恢复生产。

据分析，此次事件中设备感染的病毒是WannaCry勒索病毒的一个变种，现象是设备宕机或

重复开机。WannaCry主要利用美国国家安全局（NSA）泄露的网络武器“永恒之蓝”和

Windows操作系统445端口的“MS17-010”漏洞进行传播和感染，具有自我复制、主动传播

的特性，利用RSA和AES两种加密算法对文件进行加密。WannaCry的攻击过程由攻击启

动、传播与感染、文件加密、文件解密四个步骤组成。台积电声明此次病毒感染的原因是员

工在安装新设备的过程中没有事先做好隔离和离线安全检查工作，导致新设备连接到公司内

部网络后病毒迅速传播，并最终影响整个生产线。

此次安全事件最终导致台积电经济损失达人民币17.6亿元，并大幅影响台积电2018年的生

产进度。

五 挖矿病毒攻击欧洲废水处理运营商服务器

入选原因：此次事故是加密货币恶意软件首次对关键基础设施运营商的运营技术网络展开攻

击。

2月15日，工业网络安全企业Radiflow公司表示，四台接入欧洲废水处理设施运营技术网

络的服务器遭遇加密货币采矿恶意软件的入侵，废水处理设备中的人机交互（HMI）服务器

CPU被拖垮。此次事故是加密货币恶意软件首次对关键基础设施运营商的运营技术网络展开

攻击。

该加密货币恶意软件会在目标计算机或设备上以隐形模式运行，甚至禁用相关安全工具以确

保尽可能延长驻留时间，从而最大限度利用硬件资源进行货币采矿。加密货币恶意软件攻击

会显著增加设备CPU与网络带宽的消耗，导致用于监控运营技术网络物理变化的HMI与数据

采集与监视控制（SCADA）服务器响应时间过长，降低了关键基础设施运营对运营体系的控

制能力，进而减缓了其对于运营问题的响应速度。

此次受感染的HMI服务器主要运行有Windows XP以及来自GE Digital公司的CIMPLICITY

SCADA软件。Radiflow公司表示，虽然人们已经经历过针对运营技术网络的勒索软件攻击，

但这种加密货币恶意软件攻击属于新兴案例。由于其以隐形模式运行，可长时间潜伏不被发

现，无疑是一种非常严重的新威胁。

六 全球主流制造业公司共同签署《信任宪章》

入选理由：网络安全问题日益凸显，行业自治、企业自律已经成为西方制造企业的共识，签

署的《信任宪章》为我国推进工业互联网安全工作提供可复制、可参考的经验，有助于压实

企业安全主体责任。

2月23日，西门子在慕尼黑安全会议上与业界的八个合作伙伴签署首个致力于提升网络信

息安全的共同宪章。该《信任宪章》（Charter of Trust）由西门子发起，呼吁制定网络信

息安全领域的规则和标准以建立信任，从而进一步深化数字化发展。除西门子和慕尼黑安全

会议（MSC）外，空客公司（Airbus）、安联集团（Allianz）、戴姆勒集团（Daimler

Group）、IBM、恩智浦半导体（NXP）、SGS集团和德国电信（Deutsche Telekom）也签署

了宪章。宪章提出了在网络信息安全方面政府和企业必须积极开展行动的十个领域。它呼吁

由政府和企业的最高级别人员来承担网络信息安全的责任，在政府中责成专门的部门和在公

司内任命首席信息安全官。它还要求公司为关键基础设施和解决方案建立强制性的、独立的

第三方认证——尤其是在可能出现危险的情况下，如自动驾驶或未来机器人，它们将在生产

过程中直接与人类发生互动。未来，安全和数据保护功能都将作为技术的一部分被预先设

定，网络安全法规将被纳入自由贸易协定。宪章签署方还呼吁通过培训、继续教育和国际举

措等做出更大努力，促进对网络安全的理解。