09/08/2019
【黑客來襲】電腦被入侵怎麼辦:立法規管VS交付贖金?
昔日黑客的入侵目標不外乎是企業伺服器、個人電腦、或智能手機而已。不過,以IoT物聯網為骨幹的智慧城市興起後,黑客可供選擇的攻擊範圍便大幅擴展到監控鏡頭、智能電錶、智慧燈柱等,甚至乎無人自駕車。其影響層面遍及公用服務、工業生產,以至政府運作,令整個城市陷於癱瘓。
物聯網感測器在設計上講求體積小和耗能低,所以大都沒有裝設網絡防護機制。(圖片來源:shop.controleverything.com)
大家切勿以為筆者危言聳聽。根據網絡安全公司Recorded Future的調查,自2013年起,美國就有至少170個郡、市或州政府遭受網絡攻擊,當中更涉及45個警察和執法部門。單是2019年上半年已發生22宗勒索軟件攻擊事故,受影響縣市包括馬利蘭州巴爾的摩市、紐約州首府雅賓利市、喬治亞州巴羅縣等,其中佛羅里達州於5月更接連有兩個城市的電腦系統被勒索軟件入侵。
日後智慧城市將會廣佈各式智慧水錶和電錶,有機會成為黑客的入侵目標。(圖片來源:quectel.com)
電腦系統被黑客挾持後,佛州里維埃拉海灘(Riviera Beach)與湖市(Lake City)的電子政府服務全部癱瘓。原本以電子方式支付電費與水費的市民,要親身前赴相關部門交費;警察與消防人員要用紙筆寫下每日數以百計的報案電話……一夜之間,這兩個美國城市彷彿倒退至「原始社會」狀態。堅持數週後,兩個市政府最終在逼不得已下,只好向黑客分別支付價值約60萬美元(約470萬港元)和50萬美元(約390萬港元)的比特幣贖金,以換取電子政府服務回復正常。
不過,也有市政府誓不低頭,堅決不付贖金。同於5月遭勒索軟件入侵的巴爾的摩(Baltimore),寧願花上1,800萬美元(約1.4億港元)來自行清除勒索軟件和更新軟硬件設備,也不願支付10萬美元(約78萬港元)贖金。及至7月,美國市長會議(US Conference of Mayors)一致通過,往後市政府電腦系統受到勒索攻擊時,一律堅拒交付贖金,以免助長網絡罪行。此外,美國市長會議也通過決議,將加強對物聯網數據的保護和對網絡犯罪的防禦。
針對物聯網而來的黑客攻擊有日趨頻密之勢,各國政府亦開始立法規管物聯網裝置。歐盟已於今年6月通過《數碼安全法》;日本則會就物聯網發展而對《通信事業法》作出修訂。至於美國,2017年便已提出「創新發展與物聯網法案」(Developing Innovation and Growing the Internet of Things Act),擬成立一個物聯網產業工作小組,向國會提交關於物聯網頻譜、私隱和安全的建議。
2016年,黑客透過保安漏洞入侵數十萬部網絡攝影機,發動DDoS攻擊癱瘓美國東岸的網絡,造成Netflix、Twitter、Airbnb等75個主要網站當掉。(圖片來源:pxhere.com)
近年美國政府又陸續制定關於物聯網資訊安全的法例,包括規管政府部門採購物聯網產品的「物聯網安全促進法案」(IoT Cybersecurity Improvement Act);由商務部提出的「網絡盾牌法案」(Cyber Shield Act),要求物聯網廠商就產品的資安和加密能力,貼上等級標籤;還有由國家標準暨技術研究院(NIST)制定的「網絡安全框架」和「物聯網裝置安全測試準則」等。
目前物聯網業界普遍對立法規管持正面態度。思科(Cisco)認為,NIST的「網絡安全框架」可為廠商提供一致性標準規範,製造出符合網絡安全標準的物聯網裝置。由Apple、IBM、微軟、以及網絡安全公司賽門鐵克(Symantec)與趨勢科技等組成的商業軟件聯盟(Business Software Alliance),亦鼓勵成員遵循歐盟《數碼安全法》,對產品進行評估和作出相應改善。
資訊安全是推動智慧城市展時不可忽略的重要環節,否則便等同建造一座充滿保安漏洞、可讓黑客予取予攜的數碼城堡。
樂本健【年度感謝祭】維柏健及natural Factors全線2件7折► 了解詳情