社论
国防部下个月邀请300名海内外白帽黑客入侵属下数个网络系统,以寻找网络漏洞。这些黑客每找出一个程序错误,便能获得150元至2万元奖金,而奖金的多寡取决于寻获漏洞的严重性。这是我国首个政府机关在网络安全方面做出的大胆尝试。
虽然都是侵入他人网站,但白帽黑客与黑帽黑客的动机不同。黑帽黑客恶意侵入他人网站,目的是搞破坏牟取私利或是贪一时之快,而白帽黑客则是利用黑客技术,找出网络系统的漏洞,帮助企业或机构强化防御能力,从中赚取正当酬劳——即所谓的赏金。
尽管如此,国防部“以黑治黑”的尝试,也不无风险。国防网络署署长许智贤指出,白帽黑客可能把漏洞放上暗网售卖牟利。此外,广邀黑客入侵网络系统,可能造成网络的流量增加,从而导致服务受到干扰,而那些没有受邀的黑客,也可能不请自来,进行网络袭击。
网络科技日新月异,网络空间已成为新的战场,而新加坡的政府机关是全球黑客攻击的主要对象之一。今年2月,国防部的电脑系统就遭黑客侵入,约850名服役人员、战备军人和职员的个人资料外泄。国防部指出,那是一个“具针对性、经过周详计划”的网络袭击。
网络空间无国界,网络安全确实很难做得滴水不漏。此外,在虚拟世界游走的黑客,往往得以逍遥法外。许多国家与机构唯有不断加强网络的防卫能力,以减低网络袭击的风险和破坏力。然而,单靠内部的资源与人才,不足以应付层出不穷的网络袭击,因此必须借助外力。
实际上,美国国防部去年4月至5月便通过悬赏方式,邀请白帽黑客测试网络系统的漏洞。此外,商业机构如谷歌以及推特,也曾利用这个方式提高防卫能力。而这类招揽、组织白帽黑客,替顾客寻找系统漏洞的平台,也早已自成一套可行商业模式,可以和专业的网安服务公司分食市场杯羹。
然而,道高一尺,魔高一丈。黑客的恶意袭击,轻则造成人们的不便与钱财损失,重则可能干扰经济的运行与社会的安定。
要有效遏制黑客的恶意袭击,必须双管齐下,一方面加强网络系统的防卫能力,以应付花样百出的网络袭击,另一方面提高执法能力,以对恶意的黑客发挥更大的威慑力。
在网络安全领域上,新加坡投入了不少资源。联合国国际电信联盟根据各国在网络安全方面的法律、技术与组织机构以及教育与研究能力,编制了全球网络安全指数。新加坡在这个指数中,名列全球第一。国际电信联盟指出,新加坡早在2005年便推出网络安全总蓝图,并在2016年制定了全面的网络安全战略。此外,新加坡在2015年成立新加坡网络安全局,统筹网络安全的工作。
不过,网络安全的制度建设名列第一,不一定意味着我们有足够的防卫能力,抵御网络袭击。吊诡的是,网络安全的工作越严密,越可能引来更多黑客的袭击。对于一些黑客而言,越难袭击的网络系统,对他们越有吸引力。若他们能成功袭击这些固若金汤的网络系统,不仅有很大的成就感,而且身价看涨,并有可能从黑帽黑客摇身变成白帽黑客。
因此,我们必须提高执法能力,包括跨境的合作,提高黑客对恶意袭击行为的法律责任与代价。更重要的是,我们应该让黑客明白,非法侵入他人网站偷窥或盗取资料,不论是否有涉及钱财利益,都是犯罪行为。在网络人才短缺之际,广邀白帽黑客寻找网络漏洞,乃出于现实的需要。但我们要慎防黑帽黑客经过这个途径漂白成为白帽黑客,并在无意之间美化黑客的行为。
赞
