1/4新加坡人个资外泄!KPMG提5点示警:用LINE、FB也要小心
日前新加坡才发生含总理李显龙在内,有1/4新加坡国民的健康医疗个资遭骇客窃取后,越南政府的电脑紧急处理小组(Vietnam Computer Emergency Response Team, VNCERT)近日针对越南国内政府、电力、金融、运输等重要关键基础设施 (Critical Infrastructure, CI)也发布了严重警告,原因为越南上述产业面临高度针对性的深度网路攻击。
KPMG数位科技安全服务负责人谢昀泽表示,「依据我们与新加坡国家网路安全局(CSA)实际的互动交流经验,新加坡这样一个有高度资讯风险意识,无论在网路安全的法律、人力、财力投入都堪为模范的国家,也会发生大规模的关键基础设施攻击,及国民个资大规模外泄的事故,那其他国家更应该担心。」
除了台湾已经通过「资通安全管理法」以作为政府与关键基础设施产业的资安落实依归外,KPMG资安实验室主管林大馗也针对我国重大的油、水、电,与金融、医疗等机关,提出了预警。他认为,依据历史的教训,独立网路不能做为安全保证,没有做好资安防护,有下列特征的关键基础设施业者,无论公民营,都有可能成为下一个受骇者:
1. 未落实管理与派送系统(如微软网域管理系统、防毒中控台等)的网路存取、帐号管理控制与安全检测。
2. 未落实外点人员作业用电脑安全防护,而因资讯部门远端作业,造成高权限帐号密码外泄。
3. 未布建从点、线、面的防御纵深。若骇客从外点进入,未将损害范围限缩于该外点,因少数外点遭骇,进而影响到关键系统。
4. 未盘查「作业必要出入口」,或企业为了维修方便而建立不为人知的「维护管道」。
5. 未透过已发生的资安事故,模拟验测关键系统现有安控程度。
谢昀泽也提醒,对台湾的政府机关与关键基础设施产业而言,核心营运的系统,如公文系统之于政府、医疗系统之于医院、ATM系统之于银行等,固然是资安防守的重中之重,但也不要忽略了如LINE、Facebook等社群媒体在管理流程中,所隐含的国家机密与机敏个资传递者的重要性。
谢昀泽强调,这些常用的工具,在关键基础设施的实际运作中,现在已经不是只扮演「社群工具」的角色了:日常指挥通联、传递重要资讯可能都要仰赖它们,应该已经具备「关键通讯设施」的地位,但这些系统多数是外商,系统安全、资料传输管道,是政府或企业很难直接掌握。他提醒,所有对于关键基础设施营运有重大冲击的系统、工具或流程,都应该有应变计划与演练过程,万一风险发生时,才能将损害降到最低。