社论 2019年12月24日
国防部上星期六发布文告透露,两家服务供应商的电脑系统分别遭恶意软件侵袭,约有2400名国防部以及武装部队人员的个人资料可能已经外泄。这已不是第一次国防人员资料外泄。在2017年1月初,国防部的电脑系统遭入侵,约850名服役人员、战备军人和全职员工的基本个人资料被盗取。
在网络时代,个人资料遭盗取的事件层出不穷。在2018年7月,新加坡保健集团的电脑系统遭海外黑客入侵,共有150万国人的个人资料被盗取,包括李显龙总理和数名部长等16万人的门诊配药记录外泄。由于事态严重,政府设立了调查委员会。接着,卫生部宣布,1万4200名爱之病患者的资料外泄。
有些网络袭击属于国家行为,目的是要获得官方机密或干预他国内政;有些是盗取资料在暗网上销售或是利用他人的银行户头非法转账而牟利;也有些黑客行为纯粹是出于恶作剧或个人的报复。
无论是何种动机,网络袭击事件以及个人敏感资料外泄,轻则使受害者蒙受钱财损失,重则威胁国家的安全。虽然外泄资料的是为国防部提供服务的两家公司的电脑系统,所涉及的是国防人员的个人资料如姓名、身份证号码等,而国防部和武装部队的电脑系统和运作不受影响,但国防部与武装部队毕竟是负责国家安全的组织,国防人员资料接连外泄,还是令人感到不安。它也凸显了强化网络安全防卫的紧迫性。
电脑系统的漏洞或人为的疏失,是网络安全最脆弱的一环。黑客往往趁虚而入,利用恶意软件盗取资料或使电脑系统瘫痪,以勒索“开锁”费。除了加强内部系统的安全标准,政府机关在外包电脑服务时,或许应设下更严格的技术要求,以确保第三方供应商认真对待网络安全问题。
外包电脑服务固然能减低成本及提高效率,但是敏感资料一旦外泄便难以追回,因此网络安全必须凌驾于成本或效率的考虑之上。政府机关可考虑对第三方电脑服务供应商实行积分制度,根据它们的安全标准以及表现记录颁发合同。
其次,政府在对付网络罪犯时,应攻守兼备。在网络时代,人人自危,不知道何时何日会成为网络攻击的受害者。但网络袭击威胁当前,政府、企业以及个人却只能严阵以待,对于网络犯罪分子的袭击几乎没有反击的能力。因此,网络罪犯干案几乎不须承担风险或付出任何的代价。他们在虚拟世界自由游走,伺机而动,并得以逍遥法外。
为了更有效地制止网络袭击,我们应该采取以攻为守的策略。这意味着我们必须提高网络罪犯干案的成本,将他们绳之以法,以对其他逍遥法外的黑客起威慑作用。
在这一方面,负责网安的机构除了防卫之外,也应该积极追踪黑客的足迹,扰乱他们的运作,但更重要的是让他们无所遁形。对付网络袭击不应该是白帽黑客与黑帽黑客之间的游戏,它实际上是一场攸关安全与民众福祉的斗争。
第三,网络袭击造成的破坏,往往是持久性的。个人资料一旦外泄,要追回来已不太可能。尽管如此,网安工作还是应该尽量制止外泄资料的散播,以减低网络袭击的破坏力。政府可考虑立法禁止人们抄送被人盗取的资料,并紧密追踪暗网销售赃物的不法行为。
新加坡网络安全局最近公布的2018年网络安全调查显示,有48%的受访者在一年内遭到至少一次网袭。另一方面,国务资政兼国家安全统筹部长张志贤指出,虽然我国如今具备更好的条件应对网络袭击威胁,但面对日趋复杂的网络攻击行动,我国的网安防线很难成为坚不可破的堡垒。
面对网络袭击的威胁,网络安全防卫的策略有必要进一步调整。网安工作的完善,将能提高公众对互联互通以及统一资料库的信心,从而更快速地实现智慧国的愿景。
赞
