編按:
在數位化的浪潮之下,步上數位轉型之路是公益界不可忽視的重要議題。然而,2021年爆發的捐款人各資外洩事件,讓許多依舊在探路的公益團體上了一課── 踏上數位轉型之路,同時勢必得建立好資安意識。
NPOst採訪投身在資安領域的趨勢科技專家:台灣區暨香港區技術支援部資深經理簡勝財、台灣區經銷業務部業務協理黃家寶。藉此機會讓關心資安議題,以及需要資安知識的工作者與大眾,能對此議題有更清晰的認識。
文/黎育如
「其實在資安議題上,公益團體跟企業沒有很大的差別」簡勝財與黃家寶在了解此次公益界的資安危機之後,回望自身多年投入企業資安領域的經驗,認為資安議題其實不分領域,特別是思維與觀念的建立,才是翻轉資安困境的關鍵。
資安迷思:不是懂資訊,就懂得安全
簡聖財感嘆「在IOT時代,講求功能好用又要便宜,安全性往往就會被犧牲」,一語道破當今數位現況下的兩難。對照此次網軟公司的疏失,確實也反映了這樣的現實。早期進行系統開發,通常都是一條龍式的服務,對於廠商來說運作順暢才是首要,功能性的考量會大於安全性。然而資安攻擊變化相當快速,若沒有及時注意就可能淪為攻擊目標。
簡勝財強調,身為使用者必須清楚,有系統開發的專業,並不代表也有資訊安全的專業。「雖然會開馬路,但不代表懂的交通安全」精準的比喻,說明了現今大眾使用數位服務時具有的迷思。
甚至系統商將主機放置在有名聲的品牌下代管,也不能百分百確認其安全性。因為代管就如同租用空間,內部的規劃還是要自行負責,如果程式語法沒有寫好,依舊會被破解。由此可知,公益團體經歷危機之後,應當思考在使用資訊服務時,要如何正確看待服務相關的安全措施。
「以不信任為前提」是在使用資訊服務前,必須要有的基本假設,才能徹底檢視安全程度。趨勢科技長年提供電商服務,有豐富協助經驗的黃家寶表示,過去電商經歷過駭客與詐騙的攻擊,大眾已有警覺心,但公益團體的詐騙卻是相對少見,自然容易取信於人。詐騙在現今已是一個成熟的「產業鏈」,上下游分別有不同的專業,像是前端有竊取資料的駭客,後端則是能言善道去取人信任。
反制詐騙產業鏈,先了解資安攻擊趨勢
在詐騙產業鏈的陰影壟罩之下,資訊安全雖然難以做到百分百的滴水不漏,但至少能從建立危機意識切入,幫助公益團體認清問題核心,才不會如此手足無措。
簡勝財說資安攻擊趨勢一直在變化,也會隨著科技不斷演進。即使是存在許久的網路釣魚,因為重點在利用人性的弱點──好奇心,所以歷久不衰。過去釣魚是透過電郵,近幾年隨著社群網站興起,駭客用熱門、好康的話題,乃至於假冒官方誘騙目標上當。像今年初發生許多網紅臉書遭盜用,就是駭客利用官方身分取信於人,當點進駭客設置的連結,資料就一筆筆流失。
除了常見的網路釣魚,簡勝財也提到近幾年特別嚴重的勒索病毒,早期是隨機式攻擊,鎖住中毒者的電腦螢幕,後來演進到將中毒者的檔案全部加密。近兩三年,鎖定大企業進行ATP攻擊(Advanced Persistent Threat)更是屢見不鮮,ATP手法可怕之處在於「持續性」的攻擊,直到達到目標──雙重勒索,不但竊取資料還進行加密,若沒有得到相對應贖金,受害者的資料就會被販售至地下的暗網,做不法利用。ATP攻擊難以察覺,在於駭客會先進行探勘,且擅長隱身不讓受害者發現,建立「暗樁」控管電腦掌握伺服器、資料庫,置入病毒程式,持續把相關資訊打包外傳。
簡勝財強調,依照過往經驗的觀察,攻擊的爆發週期會隨著一年三節變化,鬆懈期的連假通常攻擊比較多,所以至少要再追蹤半年此次的資安危機,持續觀察公益界是不是又有另一波攻擊,留意潛藏的暗樁。
根據趨勢科技的公告,漏洞一直以來是駭客的攻擊目標。相較於2019年,2020年的漏洞增加了40%,駭客透過執行惡意程式,接著提取檔案、下暗樁執行更多指令,等著做下一步攻擊。漏洞逐漸增加的趨勢,也揭示了公益團體往後需要提高警覺,危機意識不可少。
資訊供應鏈時代 安全議題複雜化
除了常見的資安攻擊,對於當今數位已進入雲端和供應鏈的時代,公益團體不能只享受其帶來的便利,卻忽略了每項服務環節中可能產生的效應,對現今資訊環境保有一定程度的理解,也是重要的課題之一。
回顧此次捐款人個資外洩,就是屬於最常見的供應鏈攻擊。「最弱的一環決定了整體安全的強度」,簡勝財斬釘截鐵的形容。他說從供應商/系統商著手攻擊,只要一次打下供應商/系統商,所有使用廠商服務的客戶都會受到攻擊,像這次多家公益團體就牽連受到影響。
觀看市面上的系統商,數量也不多,所以各組織常常是聽聞推薦,或是自然而然跟進其他使用者,並不會特別注意資訊安全的防護程度。在這之中伴隨而來的就是認知的落差,使用服務者認為將服務外包,廠商應負責全部的問題;但對於廠商而言,專業在於開發系統而非資安,在資安部分的應對就會相對模糊。待危機發生時,雙方對權責的區分就會產生爭論。
所以使用系統商的服務之前,有許多功課需要做足,包含建立檢查機制。黃家寶提到與其要求買哪些防毒軟體、達到哪些技術要求,趨勢科技會使用訪談的形式,以特定的攻擊方式切入最為清楚,詢問對方能否擋下攻擊,如果有風險就要趕快改善。
不公平的戰爭?痛到才知道防禦
「發動攻擊的人都是專業駭客,被攻擊的都是資安常識不足的人員,等於是一場不公平的戰爭。」簡勝財重心長地說。
對照公益團體的經驗,沒有足夠的金錢與技術人力,確實是提升資安的一大困境。但這也代表公益團體在外包資訊服務時,更需要提高意識,在選擇合作對象時一定要多問:「是否有資安服務?是否有資安廠商配合?」公益團體要認知到提升資安需要成本,相較於不確定的損失而言,每一分成本都有其價值。
黃家寶說觀看企業界的經驗,近幾年資安議題較嚴重的是製造業。很多執行長抱持舊有的思維,認為資訊安全是資訊部門的事情,殊不知只要隨意一個部門的員工缺乏資安意識,亂點網頁、下載檔案都可能影響到整個公司。
雖然發生資安危機會讓公司、團體蒙受損失,但何嘗也不是一個教育的時機點。否則觀念要一時之間轉向相當困難,「平常不會聽,痛到才會聽」黃家寶感嘆,這才是許多人開始真正願意正視資訊安全的時候。
陣痛之後,「韌性」是解方
在經歷此次風波之後,受影響的公益團體除了紛紛考量是否轉換系統服務、盤點自身資訊安全的能力,幸運沒有遭遇資安危機的公益團體,也應開始思考平時的資安策略。
簡勝財提醒公益團體可以從基本的防護著手,除了安裝防毒軟體以外,其他例如:網站盡量回到官網操作、個資不要隨便提供、記得進行雙重認證。甚至是最基礎的更新作業系統也不能忽視,因為在更新系統的同時,也是在修補漏洞和問題。此外,也可以善用165、防詐達人等輔助工具。
尤其是在疫情期間,由於轉變成WFH(work from home)的工作模式,許多公司、團體緊急之下來不及建立安全系統,僅能依靠自己個人的防禦能力。雖然資訊環境的風險增加,但也是測試使用者是否具有良好資訊使用習慣的機會。
「韌性」是簡勝財與黃家寶對資訊安全下的重要註解,意味著組織要具備基礎防護力,不要遭受攻擊後就一蹶不振。即使趨勢科技走在時代的前端,不斷開發新的工具,但他們都認為資訊安全沒有唯一標準的作法,除了使用新的科技,使用者的習慣也要跟著改善,才會達到效果。韌性,就在一點一滴的累積中漸漸成形。