【科技.未來】疫情曝露網絡安全積患 政商可有吸取教訓?
疫情下網絡攻擊大增,揭露了長久以來網絡安全資源不足的積患。對於杜塞爾多夫大學醫院一事,美國塔夫茨大學網絡安全政策助理教授Josephine Wolff 10月中在《紐約時報》撰文批評:「不幸的是,網絡安全從未成為醫療保健領域的重點。醫院網絡出名是不安全的,因為資源不足、缺乏清晰有效的網絡安全準則,加上營運醫院涉及大量要存取權限的人手和系統。」她也解釋:「醫院要依靠專用醫療設備,例如呼吸機和磁力共振(MRI)。這意味着每次在醫院的電腦上運行軟件的安全修補程式或更新之前,首先需要確保不會干擾電腦與其他較舊的機器的連接能力。更新專用醫療設備令它們與更安全的軟件相容,過程通常緩慢,又或很昂貴,尤其是在需要購買新設備的情況下。」
學校的情況亦相似。紐約教育局前資訊安全總監Richard Cocchiara說,大校區在近年教學愈趨數碼化下已經加強了網絡安全,但很多小校區都沒有足夠人手:「他們甚至連技術部門都沒有。」
可是,即使有資源增加人手,網絡安全人員卻長期不足。國際資訊系統安全認證協會行政總裁David Shearer無奈道:「我們雙拳難敵四手。」根據他們去年底的報告,全球有280萬專業人士從事網絡安全工作,但該行業需要額外400萬名受訓人士作網絡保安和縮窄技能差距。疫情無疑令問題雪上加霜,他們4月的調查顯示,近一半受訪網絡安全專業人士都被重新分配職務,改為支援其他資訊科技工作,例如為同事的遙距工作設備作準備。
專為企業找出安全漏洞的「白帽」(white-hat)黑客Santiago Lopez坦言,他還未遇過有公司是找不出漏洞的:「他們沒有投入金錢、時間或精力來擴大自己的網絡安全團隊。即使向它們報告相關漏洞,有很多公司也欠缺修復漏洞的專業技術。」因此,防毒軟件商卡巴斯基(Kaspersky)創辦人Eugene Kaspersky認為,不落實在專業人才、培訓和技術上投資,就不會有出路:「我們有擊敗他們的技術和產品嗎?有。但不幸的是,要正確地實施所有系統,我們需要工程師、網絡安全專家。沒有一個國家投放足夠資源。」
稍為可幸的是,近期的黑客攻擊似乎響起了警號,令各界提高了安全意識。有些公司正考慮增加網絡保安預算。澳洲最大電訊商Telstra行政總裁Andrew Penn表示,可能在未來幾年內將其網絡安全支出增加雙位數百分比,例如會用於過濾冒稱政府機構的詐騙短信。據諮詢公司Gartner今年7月估算,政府和企業的網絡安全支出將在2021到2024年間,以每年約9%增長。
有些公司改善和加強了遙距工作下的身份認證程序。現時,企業保安人員正更集中保護每個員工及其設備。亞馬遜雲端服務(AWS)資訊安全總監Stephen Schmidt解釋,這種「零信任」模式更強調在不同檢查點以密碼和其他身份驗證工具,確認用戶的身份和裝置。有些公司採用了較新穎的技術來保障網絡安全。例如Alias就設計了一種利用AI的「機械人免疫系統」(RIS),像疫苗般助其辨認和預測新攻擊。以一級方程式跑車聞名的麥拿侖(McLaren)集團也採用了英國網絡公司Darktrace的AI軟件抵禦黑客攻擊。集團資訊總監Karen McElhatton解釋,AI實時處理最新數據,能有效跟上公司在疫情期間的工作模式轉變。
因此,雲端計算公司Iomart安全總監Bill Strain認為危中有機:「在我們看來,這既是好也是壞。安全意識提高了很多。」 Shearer卻不太樂觀:「疫症與數碼網絡有很多相似之處,都是『病毒』影響人們生活,而且都是到出現嚴重事故時才引起大家關注。」
(節錄)
上文節錄自第237期《香港01》周報(2020年10月27日)《勒索軟件攻擊疫情下倍增 網絡安全面對新威脅》。如欲閱讀全文請按此試閱周報電子刊,瀏覽更多深度報道。
