社论:抵御日益复杂的网络威胁

在当今数码化时代,网络贯穿我们日常生活的方方面面。与此同时,网络攻击日益复杂,为确保新加坡在防御网络威胁方面与时俱进,国会昨天三读通过网络安全(修正)法案,扩大新加坡网络安全局的监督范围,保护新加坡数码领域免受潜在干扰,更及时应对可能导致基本服务中断的网络安全威胁。

网络攻击事件在世界各地频频发生,令人不得不警惕。就在昨天,英国国防部传出所使用的第三方工资系统遭到黑客入侵,导致退役与在役军人的名字和银行信息外泄。以网络攻击作为战争手段是一个真实的风险。关键基础设施如电力网络、通信系统、金融机构和政府部门的网络系统,都可能成为攻击目标,造成严重的经济损失、社会混乱。新加坡的关键基础设施也曾遭到黑客袭击,2018年新加坡保健集团遭到网络攻击,约150万人的个人信息被盗窃,包括李显龙总理的门诊配药记录。去年11月,本地政府医院和综合诊疗所网站遭到恶意攻击而全面故障。

亚洲最大的网安方案供应商安信资讯安全公司(Ensign Infosecurity)上周五在报告中指出,发生在新加坡的网络攻击有超过一半的目的是勒索赎金。旭龄及穆律师事务所上周披露,在4月份遭到勒索软件袭击。一个自称关注勒索软件现象的独立网站,指该律师事务所向Akira勒索软件团伙支付了140万美元的比特币作为赎金。

在遭遇勒索时,政府反对受害者支付赎金,因为支付赎金不仅不能保证被上锁的数据会解锁,还可能鼓励攻击者继续犯罪活动,导致更多的受害者。威胁者也可能将这些支付赎金者视为软目标,再次发动攻击。然而在现实中,受害者为了重新获得系统的控制权,逼不得已还是得付款。

美国最大的联合健康集团(UnitedHealth)年初发生网安事件,导致几乎三分之一的美国人无法及时获取医疗服务。该公司上周三在美国参议院听证会上证实,向攻击者支付了2200万美元的比特币赎金。据报道,公司支付赎金给一个俄罗斯犯罪团伙,但后者没分赃给负责窃取数据的附属机构,该附属机构于是再次向公司勒索,并在暗网发布几份文档。不可思议的是,这起网安事件的起因,是因为该公司没有基本的安全措施,让黑客潜入一台无须多重身份验证(MFA)的服务器。

私人机构遭到网络攻击所造成的破坏,并不会比关键政府机构轻微。互联网时代经济活动环环相扣,当一家公司因为网络攻击须要切断服务时,引发的骨牌效应可能影响整个行业的运作,甚至是人民的生活。随着越来越多私人机构提供公共服务,它们必须更认真看待网络安全,即便看似无关紧要的个人资料,也有可能被黑客利用,最终成为威胁个人隐私乃至公共安全的巨大风险,千万不可低估数据库泄露的严重性。

国际科技公司思科(CISCO)3月发布的常年网络安全准备指数调查发现,本地的私人机构仅有1%为抵御网安风险做好充分准备;令人意外的是,81%的公司对防御网络攻击的能力抱有中等至非常大的信心,说明许多企业低估了网络攻击的威胁。

打造安全可靠的数码环境,不仅是技术问题,更是一种意识和责任。企业必须投入足够资源来加强网络安全措施,防范潜在的威胁。网络攻击就如恐怖攻击,政府须要增强对网络安全技术和人才的培训,提高监管和执法力度,并推动全球范围内的网络安全合作,特别是监控跨境资金转移,打击网络勒索活动。