台灣的網路安全困境

在發生一連串高曝光度的網路攻擊之後,台灣領先全球的資訊通信與半導體產業成為矚目焦點

3月下旬,台灣大型科技硬體公司宏碁據報成為勒索軟體的受害者。這類網路攻擊是駭客侵入企業電腦系統取得敏感資訊後,要求被害的企業以金錢贖回。據媒體報導,駭入宏碁電腦系統的是個自稱REvil(亦稱為 Sodinokibi)且據信以俄國為根據地的駭客團體,它要求宏碁支付5,000萬美元,並將駭來的財務文件與機密檔案截圖貼在它在暗網上的外洩資料部落格。宏碁被要求支付的金額創下全球這類攻擊中勒索的最高紀錄,據稱宏碁曾與REvil談判,表明願意支付較低的金額,但遭到對方拒絕。

約莫一個月之後,蘋果MacBook在台灣的主要供應商廣達電腦成為REvil勒索軟體在台灣的第2個目標。REvil在部落格發表的聲明,包含21張據稱是駭來的MacBook示意圖的截圖。跟對宏碁一樣,據報導REvil也向廣達勒索5,000萬美元,做為取回被竊檔案的條件。但據科技新聞網站Bleeping Computer報導,廣達與蘋果都未在REvil指定的日期前交付贖金,REvil便開始公布檔案。

據說台灣電子公司康寶電腦和國營企業中油公司最近幾個月也曾受到類似的網路攻擊,顯示這種攻擊呈現不斷增加的趨勢,令人憂心。

勒索軟體的出現可以追溯至1989年,當時一位具有哈佛大學學位、名叫波普的演化生物學家寄了2萬張含有特洛伊病毒的電腦磁碟片,給參加世界衛生組織全球愛滋病大會的出席人員。這些磁碟片會把受害者的電腦硬碟加密鎖死,同時螢幕上會出現一個提示,要求受害者支付189美元給一家地點位在巴拿馬的郵政信箱的公司,才能重新使用他們的電腦。

這些年來,這類攻擊變得更加縝密,頻率也增加許多,發動攻擊的駭客往往要求受害者以加密貨幣當做贖金,因其方便且具有隱匿性。據IBM X-Force威脅情資報告的數據,在2020年觀察到的網路攻擊中,勒索軟體攻擊占了23%。

Photo: IBM X-Force Threat Intelligence

台灣網路安全公司蓋亞資訊的執行長吳炳鈞說明,勒索軟體攻擊運作的模式跟其他網路病毒一樣。駭客透過許多釣魚手法,例如:假電郵、假簡訊和偽正常連結的廣告,以及含有病毒的下載檔案和網頁漏洞,在受害者的電腦、網路系統和資料庫內植入惡意程式。

據IBM表示,在遭到勒索軟體攻擊的企業中,有超過60%同意支付贖金,每次的金額高數百萬美元。然而,企業因此所蒙受的損失可能不僅限於財務層面,失去對重要檔案的控制權以及無法進入自己的電腦系統,都可能使公司的營運受到嚴重影響。

此外,吳炳鈞說,遭到勒索軟體攻擊的新聞,會對公司的名聲產生負面的影響。他說,安全紀錄不良不但會削弱企業的吸引力,也會降低潛在商業夥伴的可靠程度。

隨著台灣在科技的各個領域持續發展,網路安全的重要性日漸升高。台灣未來基金會董事長陳浩維說,網路安全如今已是高科技發展的一個基本工作。他說:「當我們採用這些科技,就得經常思考什麼需要保護。」他接著說,把所有東西都放在網路網的企業,只會增加網路掠食者發動攻擊的誘因。台灣未來基金會是個網路安全的新創非營利組織,旨在推介人才。

對於台灣半導體業者來說,網路安全已成為其商業模式不可或缺的一部分。國際半導體產業協會台灣區總裁兼全球行銷長曹世綸說,台灣半導體產業成功的一個重要因素,在於能夠維持資訊安全,藉此贏得客戶的信賴。國際半導體產業協會是個業界組織,成員都是電子設計和製造供應鏈的公司。

不論要維繫什麼客戶,確保敏感資訊受到保護都很重要,但曹世綸說,就半導體產業而言,企業的名聲別具意義。他說,由於台灣晶片製造廠對全球科技供應鏈十分重要,網路安全不再只是個別企業需要關切的事,如今也成為涉及國家安全的大事。他提醒:「如果我們做不到網路安全,就會衝擊台灣與全球的經濟。」

但要防範網路攻擊並不容易。IBM全球威脅情報防禦產品協理謝明君指出,對半導體製造供應鏈的營運技術來說,網路威脅構成獨特的挑戰。舉凡生產設備零組件、工廠設施、內部電腦系統以及生產過程其他重要環節,對網路攻擊者來說都是具有吸引力的目標。此外,半導體工廠不分晝夜地持續運作,在運轉時若受到干擾,生產便可能受到嚴重衝擊,而因為目前全球晶片短缺,這樣的干擾也可能影響更廣大的科技產業。

台積電等大型企業有很好的網路安全措施,當駭客面對這樣的企業,會選擇針對供應鏈中較弱的上游和下游廠商來造成間接損害。這些目標包括設備製造商、材料供應商,甚至水電等公用事業。IBM的謝明君說,基本設施較簡陋的工廠比較難以防禦網路入侵,因此成為「攻擊者低垂易摘的果實」。

此外,謝明君說,博通和高通等無工廠半導體公司與供應鏈生態圈當中的許多夥伴企業交換大量資料和敏感資訊,這使得防範釣魚電郵、竊取身分和勒索軟體攻擊的難度更高。

台灣在全球高科技供應鏈扮演無法取代的角色,照理說應該要有堅強的網路防禦。但仔細檢視可以發現,台灣針對營運技術相關的攻擊所做的準備不足,令人失望。據IBM調查,儘管2019年跟營運技術有關的安全事件增加了20倍,但在遭到攻擊的企業當中,約有81%未擬訂在營運技術受到攻擊時的具體應變計畫。謝明君說,更令人擔心的是,台灣許多製造業者仍在使用過時的Windows作業系統,有些則使用二手電腦。

數聯資安公司業務暨專案管理處副總經理游承儒說,台灣企業總是認為網路安全只是「如果有了會不錯的東西」,直到實際發生攻擊迫使他們採取更認真的態度。數聯資安成立於2004年,是行動通訊業者遠傳的網路安全部門,也是台灣最早成立的安全行動中心。游承儒說,企業根本不覺得在網路安全上投資是值得做的事,因為他們誤以為遭到攻擊的成本相對便宜。

儘管有許多科技公司在網路安全面做得不夠,且現代的網路攻擊行動日益複雜,台灣仍有許多安全的解決方案和服務。例如美國跨國軟體公司戴爾以資料庫的形式提供資料備份和復原方案。這個資料庫可以把企業最重要的資料儲存在特別且加密的環境中,即使企業自己的資料庫在遭到攻擊時被刪光,資料仍然可以找回來。

台北瑞福集團旗下的來福貿易公司代理多家重要國際網路安全系統業者的產品,包括美國的火眼和Deep Instinct公司。

IBM的謝明君指出,其公司提供一系列完整個服務,可以減少設備當機、對整體設備效率的干擾、設備受損情況和其他涉及營運技術的網路攻擊。她說,IBM的事件反應平台簡化事故管理流程,並內建客製化的因應手冊。這個平台取代許多公司用來做安全管理的傳統靜態Excel活頁,改用整合性更高的視覺系統。她說,除了提供安全解決方案,IBM也為客戶企業的安全團隊和主管及公關部門人員提供網路安全訓練課程。

台灣本地企業也在提供他們研發的網路安全解決方案。蓋亞資訊使用網路應用程式防火牆阻擋網站安全漏洞造成的破口。蓋亞分散式阻斷服務攻擊緩解方案可動員全球網路,壓制來襲的阻斷服務攻擊行動。另一方面,數聯資安提供機器學習和人工智慧解決方案,可通過分析收集的數據來緩解網絡攻擊。。

國際半導體產業協會的曹世綸說,該協會正在與其他供應鏈夥伴密切合作,以建立一個全球產業安全中心,並訂定資料與資訊保護的標準。曹世綸說:「我們要確保顧客和供應商對於網路安全具有共識,讓整個供應鏈的資訊流安全無虞。」

CYBERSEC 2021, a global cybersecurity conference, was held in Taipei in early May. President Tsai attended the event’s opening and delivered the opening remarks. Photo: Wang Yu-ching / Office of the President

在強化台灣網路安全的生態系統方面,民間企業並非孤軍奮戰,政府的努力也有所進展。蔡政府去年的六大核心戰略產業把強化網路安全列為優先推動的工作,要補足台灣在資訊與通信產業、人工智慧物聯網和半導體科技方面的發展。

在這項發展之後,行政院今年3月宣布明年將成立數位發展部,職掌是「提升資訊安全並鼓勵相關產業發展」。目前負責網絡安全事務的國家通訊委員會和經濟部工業局,其底下的辦公室將重新整合成為新的數位發展部總管網路安全部門。

為推動民間參與以強化台灣網路安全的努力,政府已多次舉辦黑客松活動,例如每年舉行的總統盃黑客松,目的就在培養網路人才。科技部最近在台南舉行「2021第1屆尋找資安女婕思」黑客松,有65隊參加資訊安全與創意思考挑戰。

曹世綸說,這些努力是有形的證據,表明網絡安全現已成為國家的優先要務,並被認為有利於台灣的高科技和半導體產業。他說,傳統上「台灣在網路安全領域更像是個追隨者,但現在,我覺得台灣開始走在前面,尤其是製造業」。

台灣未來基金會董事長陳浩維認同曹世綸,也對台灣政府網路安全的新方向感到興奮。他說,政府主辦的活動和競賽「在激勵和提高學生對網絡安全的興趣方面非常有效」。

欠缺的元素

曹世綸和陳浩維都對台灣的網路安全方法表示樂觀,但陳浩維指出,台灣政府和民間明顯欠缺負責任的文化。

陳浩維說,許多公司是事後才想到網路安全的問題,不僅如此,在堅強網路防禦的基礎上建構客戶的信任,也不是這些公司根深蒂固的理念。他指出,美國許多公司主動把個資漏洞和網路安全入侵事件告知客戶,「它們的品牌形象跟網路安全密不可分」。

陳浩維說,相形之下,台灣企業傾向隱匿跟網路安全有關的問題,直到媒體披露,而且相關企業時常否認網路安全出了狀況,只說是「系統異常」。更糟的是,當網路安全公司向客戶提出弱點分析報告,許多公司會要求兩個不同的版本,原稿給安全團隊,另一個經過刪減編輯的版本給公司主管。

在有些國家,因網絡防禦能力不足而引起攻擊的公司應承擔法律責任,但台灣沒有相關的法規,這足以說明為何台灣的網路安全體系沒有問責的機制。例如在2017年,美國發生的網路攻擊造成金融徵信機構艾可飛的大量客戶資料遭竊,艾可飛最終同意與聯邦貿易委員會達成5億7,500萬美元的全球和解協議,其中有一大部分用於補償受資料遭竊影響的消費者。

在歐盟,一般資料保護規定和地方法規對不合規的公司處以高額罰金。德國資訊科技與電信業者等重要基礎建設營運商依法必須通報涉及消費者或員工資料的安全事件,違反規定者可處以1,000萬歐元(約1,200萬美元)與該企業全球年度營業額2%二者當中較高的金額。

但在台灣,企業如果不通報網路安全事件,行政院訂定的罰責最高僅新台幣500萬元。陳浩維說,要有更嚴格的規定,才能讓台灣的企業負起責任。他說,若無更嚴厲的懲罰措施,包括高科技業在內的台灣公司還是會自滿於現狀,漠視網路安全的重要性。

台灣對於網路安全的鬆散態度,長期而言對於召募和培養網路人才的努力也將構成嚴重的障礙。許多業界人士認為,要召募和培養這類人才本身就已是個重大的挑戰。如果政府和民間公司缺少具有前景的網路安全相關工作機會,就會讓年輕人脫離這個領域。陳浩維說:「缺少的部分是你畢業之後,要去哪裡?台灣無法提供這類人才就業的市場。」

展望未來,陳浩維指出球在台灣的這一邊。他說:「我會說我們有機會和能力打造菁英網路安全大軍,但文化還不具備。當企業面對問責,文化就會開始改變。法規將會是首要任務。」

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *