勒索軟體為組織最頭痛的問題,根據Sophos《2022年勒索軟體現況》調查指出,66%的組織在2021年遭到勒索軟體攻擊,遠高於2020年的37%,平均贖金也高達812,360美元,除了駭客手法不斷進步外,企業本身老舊的系統與思維上的過時也是危機發生的關鍵要素。近半數的企業選擇支付贖金以取得解密金鑰,這種付錢了事的心態容易讓資安攻擊重複發生;部分企業則選擇將資安業務外包給「託管式偵測及回應」(MDR)業者,卻依舊選擇不培養內部資安人才,這種問題最容易發生在中小企業。
勒索軟體為組織最頭痛的問題,根據Sophos《2022年勒索軟體現況》調查指出,66%的組織在2021年遭到勒索軟體攻擊,遠高於2020年的37%,平均贖金也高達812,360美元,除了駭客手法不斷進步外,企業本身老舊的系統與思維上的過時也是危機發生的關鍵要素。近半數的企業選擇支付贖金以取得解密金鑰,這種付錢了事的心態容易讓資安攻擊重複發生;部分企業則選擇將資安業務外包給「託管式偵測及回應」(Managed Detection and Response,MDR)業者,卻依舊選擇不培養內部資安人才,這種問題最容易發生在中小企業。
不過,在眾多的組織中,國家無疑是影響層面最大的一種,政府機構的系統常因老舊又儲存大量個資,容易成為不法者的覬覦目標。美國也因此在2022年3月制定《關鍵基礎設施資安事件通報法案》(Cyber Incident Reporting for Critical Infrastructure Act),要求關鍵基礎設施之相關利害關係人在攻擊發生72小時內與支付贖金後24小時內,向國土安全部網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)通報狀況,其問題嚴重性可見一斑。
新加坡身處地緣政經前線 資安風險成國家挑戰
在資安議題、政策與措施的規劃上,全球國家中除以色列外,新加坡可謂在相關政府政策與機制的制定上,有相當完善的規劃。根據全球資安指數調查,新加坡在亞洲排名第一,在法規、技術、組織、國際合作上名列前茅。新加坡在制定國家資安政策最大的特色為「隱身模式」:各產業的數位化依舊為國家發展主軸,再於當中嵌入資安元素,一方面作為其他數位技術的「盾」,避免資訊與隱私破口;一方面各產業又是資安最佳的測試場域,企業與政府可以隨時按照產業需求進一步強化資源投入。
由於新加坡政府積極投入產業數位轉型,在智慧製造領域,相當重要的一部分為建立數位供應鏈,而資料的交換與串連則是業者是否能整合資訊的關鍵。故此,新加坡政府建立新加坡貿易資料交易平台(Singapore Trade Data Exchange,SGTraDex),將物流業、航運業、製造業、金融業等業者各自提供之資料整合至單一平台,資料類別除原物料供應、貨運即時追蹤,還加入貿易金融、保險與產險等金融資訊,串連供應鏈的物流、資訊流與金流,所有參數資料皆經過加密傳送,預計為該國供應鏈帶來1.5億美元的產值。
如此龐大的網路也極可能受到駭客攻擊,駭客能透過供應鏈的上中下游植入惡意程式,同時鎖定眾多供應商與協力廠展開入侵,部分研究指出,駭客甚至能透過Kubernetes與基礎架構程式(Infrastructure-as-Code,IaC)等方式攻擊,一旦軟體開發環境被掌控,整條供應鏈一夕之間便不保。除了這些較進階的攻擊方式,也有直接針對系統操作人員的「乾淨電郵」釣魚攻擊,駭客透過精準的文字與人員個性的掌握吸引收信者回信,寄出高敏感度資料,這種方式難以預防的地方在於,如果駭客只針對上游供應商,則下游客戶幾乎不會警覺到危險,進而透過一層一層侵蝕的方式,逐步掌握整條供應鏈的物流、資訊流、甚至金流,最終得以透過交叉勒索的方式牟取不法暴利。
多層次防禦措施 降低網路攻擊損失
為防止這些攻擊的發生,新加坡網路安全局祭出兩種方式,一種為針對基礎建設的「關鍵基礎建設資安防護措施」(The Critical Infrastructure Cybersecurity Initiative),另一項則是保護所有產業供應鏈的「強化供應鏈資安計畫」(The Cyber Safe Programme for Strengthening all Supply Chains),這兩項皆適用於SGTraDex平台。
‧關鍵基礎建設資安防護措施:該計畫實施對象主要為新加坡的政府、能源、金融、交通、醫療等關鍵基礎設施,這些業者經常將IT營運外包至承包商或第三方合作夥伴,駭客便可透過第三方供應商的弱點攻擊主要企業目標,一旦供應商未健全內外部的網路防護罩,在與各個企業協作時,等於將幾千萬、甚至上億筆基礎設施參數資料或使用者資料免費送給攻擊者,造成重大損失。因此,在資安防禦上,除資料外洩防護(Data Loss Prevention,DLP)、身分驗證(Identity Provide,IDP)和多因子驗證(Multi-Factor Authentication,MFA)等基本安全機制外,管理供應商的資安風險也為關鍵資訊基礎建設(Critical Information Infrastructure,CII)的擁有者須致力的方向。因此,新加坡網路安全局針對各項關鍵基礎設施業者與相關外包單位提供不同面向訓練,整合所有利害關係人提供一條龍的資安訓練。
‧強化供應鏈資安計畫:有別於關鍵基礎建設資安防護措施,強化供應鏈資安計畫的對象以各產業供應鏈為主體。其對象針對企業內部各階層人員,例如提供經營管理階層、資安團隊,與一線員工正確資安觀念與做法,同時提供投資於資安技術一定程度者SG Cyber Safe認證,相較於關鍵基礎建設資安防護措施,要求企業必須積極盤點外部IT夥伴資安狀況、執行各種實地查核等複雜執行項目,該計畫對一般企業負擔較低,亦是提升供應鏈資安意識的入門。同時,由於資安被新加坡政府列為數位轉型的一部分,且該國業者(主要為製造業)正積極投入轉型,搭配如SME Go Digital計畫,或是IDP轉型計畫。
除了供應鏈的資訊安全外,新加坡網路安全局在供應鏈資安的做法或許有更深層的含義:鞏固新加坡未來在區域製造與區域貿易協定的地位。當前跨太平洋夥伴全面進步協定(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)與區域全面經濟夥伴協定(Regional Comprehensive Economic Partnership,RCEP)開始發酵,加上地緣政治衝突劇增,使得更多外國企業將東南亞列為布局重點,跨境貿易、數位轉型與供應鏈遷移更是這波產業移轉的重頭戲,供應鏈「韌性」的範疇不僅限於按需生產與投入數位技術,還延伸到資料的交換、保護等各式資安議題。身為進入東南亞市場的重要樞紐,建立數位供應鏈背後強大的資安防護網也是吸引國外企業投資當地的重要因素。
從上述幾項重大措施中不難看出新加坡網路安全局扮演的關鍵角色,新加坡網路安全局成立於2015年,隸屬於總理辦公室(Prime Minister's Office,PMO),並由新加坡通訊暨新聞部(Ministry of Communications and Information)管理,根據新加坡於2018年公布的《資安法》營運,將資安議題提升至國家層次,為新加坡至關重要的資安法規。新加坡網路安全局肩負三大任務:確保國家資訊安全、保護人民生活,以及促進數位經濟發展,同時具備被動與主動角色,並透過十項措施來達成。未來,該機構將成為該國資安政策的主導者之一,以確保在國際局勢日益複雜的前提下,力阻國家扶植駭客與產業駭客突襲。
<本文作者:Howie Su現為產業分析師>