【科技.未来】疫情曝露网络安全积患 政商可有吸取教训?
疫情下网络攻击大增,揭露了长久以来网络安全资源不足的积患。对于杜塞尔多夫大学医院一事,美国塔夫茨大学网络安全政策助理教授Josephine Wolff 10月中在《纽约时报》撰文批评:“不幸的是,网络安全从未成为医疗保健领域的重点。医院网络出名是不安全的,因为资源不足、缺乏清晰有效的网络安全准则,加上营运医院涉及大量要存取权限的人手和系统。”她也解释:“医院要依靠专用医疗设备,例如呼吸机和磁力共振(MRI)。这意味着每次在医院的电脑上运行软件的安全修补程式或更新之前,首先需要确保不会干扰电脑与其他较旧的机器的连接能力。更新专用医疗设备令它们与更安全的软件相容,过程通常缓慢,又或很昂贵,尤其是在需要购买新设备的情况下。”
学校的情况亦相似。纽约教育局前资讯安全总监Richard Cocchiara说,大校区在近年教学愈趋数码化下已经加强了网络安全,但很多小校区都没有足够人手:“他们甚至连技术部门都没有。”
可是,即使有资源增加人手,网络安全人员却长期不足。国际资讯系统安全认证协会行政总裁David Shearer无奈道:“我们双拳难敌四手。”根据他们去年底的报告,全球有280万专业人士从事网络安全工作,但该行业需要额外400万名受训人士作网络保安和缩窄技能差距。疫情无疑令问题雪上加霜,他们4月的调查显示,近一半受访网络安全专业人士都被重新分配职务,改为支援其他资讯科技工作,例如为同事的遥距工作设备作准备。
专为企业找出安全漏洞的“白帽”(white-hat)黑客Santiago Lopez坦言,他还未遇过有公司是找不出漏洞的:“他们没有投入金钱、时间或精力来扩大自己的网络安全团队。即使向它们报告相关漏洞,有很多公司也欠缺修复漏洞的专业技术。”因此,防毒软件商卡巴斯基(Kaspersky)创办人Eugene Kaspersky认为,不落实在专业人才、培训和技术上投资,就不会有出路:“我们有击败他们的技术和产品吗?有。但不幸的是,要正确地实施所有系统,我们需要工程师、网络安全专家。没有一个国家投放足够资源。”
稍为可幸的是,近期的黑客攻击似乎响起了警号,令各界提高了安全意识。有些公司正考虑增加网络保安预算。澳大利亚最大电讯商Telstra行政总裁Andrew Penn表示,可能在未来几年内将其网络安全支出增加双位数百分比,例如会用于过滤冒称政府机构的诈骗短信。据咨询公司Gartner今年7月估算,政府和企业的网络安全支出将在2021到2024年间,以每年约9%增长。
有些公司改善和加强了遥距工作下的身份认证程序。现时,企业保安人员正更集中保护每个员工及其设备。亚马逊云端服务(AWS)资讯安全总监Stephen Schmidt解释,这种“零信任”模式更强调在不同检查点以密码和其他身份验证工具,确认用户的身份和装置。有些公司采用了较新颖的技术来保障网络安全。例如Alias就设计了一种利用AI的“机械人免疫系统”(RIS),像疫苗般助其辨认和预测新攻击。以一级方程式跑车闻名的麦拿仑(McLaren)集团也采用了英国网络公司Darktrace的AI软件抵御黑客攻击。集团资讯总监Karen McElhatton解释,AI实时处理最新数据,能有效跟上公司在疫情期间的工作模式转变。
因此,云端计算公司Iomart安全总监Bill Strain认为危中有机:“在我们看来,这既是好也是坏。安全意识提高了很多。” Shearer却不太乐观:“疫症与数码网络有很多相似之处,都是‘病毒’影响人们生活,而且都是到出现严重事故时才引起大家关注。”
(节录)
上文节录自第237期《香港01》周报(2020年10月27日)《勒索软件攻击疫情下倍增 网络安全面对新威胁》。如欲阅读全文请按此试阅周报电子刊,浏览更多深度报道。