今年上半年,新加坡网络安全局旗下的电脑紧急反应组(SingCERT)接到的钓鱼电邮报告中,有10%含有生成式人工智能内容。
新加坡网络安全局局长许智贤星期一(12月16日)接受《联合早报》专访时,透露这数据。许智贤回顾2024年新加坡面临的网络安全及韧性态势,并分析明年值得关注的网络威胁趋势时指出,生成式人工智能技术在钓鱼邮件等网安威胁中越来越普遍。
他指出,这些钓鱼电邮的文法(grammar)等方面有进步,看起来更加可信。随着人们在日常工作中更多地使用技术日趋成熟的生成式人工智能工具,骗子利用这些工具让钓鱼电邮看起来更真实,也在意料之中。
骗子甚至会利用生成式人工智能工具,应对声音、样貌等传统验证方式蒙混过关,因此人们也须做出相应的改变应对。不过,网安局也利用人工智能技术,检测不寻常的网络流量,希望尽早发现网络攻击。
澳大利亚、新加坡等11国于今年1月出版《与人工智能互动》(Engaging with Artificial Intelligence)手册,帮助机构利用人工智能技术,同时管控风险。
许智贤说,勒索软件、针对供应链、开源项目和物联网设备的攻击,以及为日后网络攻击做的预先部署(pre-positioning),将是明年值得关注的网络威胁趋势。
勒索软件仍是全球一大网安问题
勒索软件仍是全球令人担忧的一大网安问题。勒索软件团体越来越多地针对关键信息基础设施。今年6月,印度尼西亚国家数据中心就遭到勒索软件攻击,导致200多项政府服务中断。
新加坡面临类似形势,今年首10个月里,已接获132起勒索软件事件的通报,与去年全年的数据一样。
许智贤指出,这可能因为确实发生更多起勒索软件事件,也可能是因为更多受害者愿意通报。他说,无论如何,这都是积极的发展,因为受害者向当局报告后,能获得帮助和建议,当局掌握的信息也能提高网安态势感知能力,做出更好的决策。
他敦促所有公司向网安局报告勒索软件事件,并订阅网安局旗下的电脑紧急反应组发布的网络安全警报及公告。“我们要向公司和公众保证的关键一点是,当你向网安局报告时,我们了解你是受害者,不会来找你的麻烦。”
如今本地民众在日常生活中越来越多地使用各种数码技术,许智贤强调,所有技术归根结底都是在便捷、安全和成本之间的权衡,而便捷和安全之间常有冲突,没有适合所有情况的简单答案。“为了使技术发挥作用,我们必须做出评估,并决定如何达到这种平衡。”
他说,现实生活中,人们不希望经过多重验证步骤后,才能完成购买电影票这类小额交易,但对于购买组屋这类的大额交易,就能理解多重验证的必要性。因此,人们不应期望对于小额和大额的数码交易,都是一样的流程。
对于近期本地热议的公布完整身份证号码是否会引发网络安全等方面的问题,许智贤指出,从网安角度来看,身份(identity)和身份验证(authentication)是不同的概念,用户名属于前者,密码则属于后者。公众不应使用身份证号、全名或生日日期作为身份验证,因为这些是人们知道或能猜出的信息,用作身份验证是不太安全的做法。
