澳洲新闻

在这个“无网不成活”的现代生活中,澳洲的网络安全却还很弱?

10 月 6 日
631

你的个人信息,掌握在多少黑客的手里?

在雅虎近日确认,公司2014年遭到了大规模黑客入侵,至少五亿用户的资料遭到泄露后,澳洲人开始担忧本国的网络安全。糟糕的是,和其他发达国家在网络安全上的保护相比,澳洲在立法和资金投入上似乎都很滞后。今年年初,澳洲总理特恩布尔(Malcolm Turnbull)曾喊出将澳洲打造成“网络智能型国家”的口号,但有媒体称,澳洲离成为这样的国家还有很长的路要走。

澳人成网络犯罪“诱人目标”

“我们乐于享受网络世界带来的快捷与便利,但对网络安全却没有足够重视。”这是信息安全供应商Symantec在澳洲的安全专家Nick Savvides,最近对澳洲网络安全给出的评价。今年2月,会计师事务所德勤(Deloitte)将澳洲评为亚太地区最容易遭受网络攻击的五个经济体之一。而《澳洲人报》4月14日的报道也表示,澳洲人成为了网络犯罪的一个非常诱人的目标,尤其是通过勒索软件(ransomware),黑客利用这一软件将用户的信息进行加密操作,使之不可用,并以此为条件向用户勒索钱财,“澳洲已经成为南半球这类黑客入侵的首要目标,在全球范围内,澳洲高居第九名”。

有媒体甚至称,网络犯罪已经成为澳洲人日常生活的一部分。9月23日,雅虎确认,2014年,公司遭到了大规模的黑客入侵,至少五亿用户的资料遭到泄露。雅虎认为,这次黑客入侵可能是由国家资助的行为,窃取了用户的姓名、电子邮箱、生日、密码以及用户设置的加密或非加密的安全问题、答案,这些信息能够帮助黑客攻入用户其他的线上账户。

073332jaqp94ar9mj2s4ej

雅虎用户信息遭窃引发澳洲社会对该国网络安全的担忧,因为现实情况是,澳洲目前尚未立法强制泄漏信息的企业告知受影响的客户。

律师事务所Norton Rose Fulbright的合伙人Nick Abrahams向企业提出了应对数据泄露的建议。他表示,进行相关的立法是必然的事,“大多数情况下,澳洲人不会被告知他们的信息遭窃的事实。我们需要推进这方面的立法工作,政府已经有了这方面的计划,应该尽快落实。事实上,大部分发达国家都已经建立了这样的理念。”

在澳洲,这类信息泄露事件经常发生。8月30日,澳洲广播电台(ABC)的一项调查发现,澳洲数万台电脑遭到黑客入侵,其中包括一个联邦政府研究网络、一家大型体育机构、一所学校以及一个地方议会的电脑,这些电脑上的登陆信息均被发布到一个非法网站上出售。据网络安全公司Kaspersky透露,黑客还有可能租用一些电脑,他们只需花费6澳元就能用这些电脑入侵其他电脑。

面对这一问题,网络安全公司Mandiant的威胁情报主管、澳洲网络安全中心前经理Tim Wellsmore表示:“这样的市场确实存在,因为黑客不想用自己的电脑发动入侵。他们想使用其他人的电脑,这样看起来就不像是黑客入侵。不幸的是,这样的市场上有数以千计的服务器或电脑可供选择,它们均可能会被用来发动黑客入侵。”

对此,Savvides强调了数据泄露强制告知制度(mandatory data breach notification,又被称为Data Breaches Bill)的重要性。“企业和组织没有被强制要求披露数据泄露事件,这种情况需要改变。如果企业和组织不承认它们遭到了数据泄露,也不向其客户分享这方面的信息,那么这意味着,它们通常会成为黑客的牺牲品。” Savvides说。

wkiol1zmm0ldxiinaaucbvsiano309

黑客让医院学校都不太平

针对网络安全,今年4月,特恩布尔曾发出警告称,“澳洲政府部门和企业正面临着前所未有的恶意网络攻击。”他还指出,澳洲因黑客袭击所蒙受的直接损失每年达10亿澳元。

2015年7月29日,澳洲网络安全中心(ACSC)发布的首份报告发现,2014年澳洲企业遭到了超过1.1万起网络安全事故。另外,澳洲联邦警察局(AFP)透露,2015年4月,澳洲发生了3,500多次来自国外和犯罪分子的网络入侵,而且这些威胁只会加剧。

澳洲的网络保护系统似乎很脆弱。2013年5月初,美国网络安全公司Cylance的研究团队发现,他们可以侵入Google位于悉尼Wharf 7办公室的建筑管理系统(BMS),并控制办公室的空调系统。他们还发现,澳洲的医院、银行和政府部门等主要建筑物均有被黑客入侵的风险。有报道称,该研究团队已经建立了一个包含2.5万栋建筑的数据库,这些建筑的管理系统均存在漏洞,其中数百栋建筑位于澳洲。依据建筑构造,建筑管理系统可以控制照明、锁、空调、电梯、火警,甚至下水道等系统。

事实上,黑客入侵建筑管理系统可能会造成很大的问题,比如,恶意引起火灾警报,让办公楼的员工疏散。

此外,研究人员还警告称,黑客可能会影响医院等温度敏感型的建筑。Cylance的研究员Terry McCorkle表示:“这包括医院的实验室(实验室内必须保持较低的温度)和数据中心。这里有一些被建筑管理系统直接控制的设备。”悉尼北部海岸私立医院就是一家建筑管理系统存在入侵风险的医院。

1
科技新闻网站Wired.com2015年7月21日报道称,前美国国家安全局的雇员Charlie Miller以及IOActive的研究员Chris Valasek通过实验,利用Fiat Chrysler的远程信息处理系统Uconnect侵入一辆行驶的汽车,导致汽车的方向盘、刹车和动力失灵。Miller表示:“如今,成千上万的汽车都有遭受这类黑客入侵的风险。”虽然澳洲专家表示,实验中使用的联网型吉普车在澳洲并未出售,但同时警告,只需‘一个很小的入口’,黑客就能侵入汽车的电脑系统。

除了建筑领域,学校也成了黑客攻击的目标。今年年初,澳洲30多所学校收到的一系列威胁电话。经调查,警方认为,这是一个复杂和自动的黑客系统所为。此外,法国、意大利、荷兰、日本和英国的数百所学校均受到了同样的电话威胁。

今年1月29日,澳洲多地的学校收到电话威胁,对方称将在校园制造枪击和爆炸事件。2月2日,维州17所学校(在收到威胁后)被迫对校园进行疏散,昆州有九所、首领地有五所以及新州部分学校均采取了类似应对措施。在这种情况下,学校只能等待,直到警方宣布校园安全了。但学校的正常教学秩序遭到了严重的干扰,给教职工、家长和学生带来了诸多不便。在受影响的学生中,许多是幼儿园的学龄前儿童,他们才刚刚步入校园。

昆州警察局的一位媒体发言人表示,当天气温高达40℃,在疏散期间,一名学生由于中暑虚脱被送往医院。昆州救护车服务中心的一位发言人则表示,11点25,护理人员到达校园,并对年龄在12岁-14岁之间的13名学生进行了治疗。其中五名被送往医院,三名发生中暑虚脱,两名出现了其他未被透露的病症。

维州警察局的局长Graham Ashton表示,这些威胁电话为“恶作剧”,但是学校每次在遭到这类威胁后,都需要对校园进行疏散,因为“下一个电话也许不是恶作剧。”

有报道称,一个自称Evacuation Squad的黑客组织已经宣布对影响欧洲、美国、日本和南非学校的威胁电话负责。维州教育部长James Merlino表示,维州警方正在和澳洲联邦警察局以及国际刑警合作,找到始作俑者。新州警方称,这些威胁电话可能来自海外。而海外黑客常常使用假的身份,警方很难追踪他们的归属地。

rbaswffzef2afiubaagtsv5lfr4389

“网络空间再也不能是一个法外之地”

在美国大多数州,如果企业因为技术故障或意外事故丢失了客户的信息,法律会要求企业告知信息遭泄露的个人。由于澳洲在这方面还是空白,今年春季议会开会期,联邦政府决定引入数据泄露强制告知制度,该法案有望在今年年底之前获得通过。法案强制企业披露“严重数据泄露”(serious data breach)事故,强制告知澳洲信息事务专员(Australian Information Commissioner)以及受数据泄露影响的客户,此外,企业有30天的时间评估数据泄露的程度以及是否需要做详细的报告。

对此,《澳洲人报》7月14日评论称,这项法案有着重要意义,它势必会引起澳洲企业或组织重视网络安全,有利于提高企业自上而下的信息透明度,所有雇主将为客户机密信息担责。很快,网络风险保险将成为企业保险投资的一部分。

不过该法案却遭到了一些专家的质疑,他们表示,法案中一些模糊的概念会给企业带来困扰。比如何为“严重的数据泄露”,以及一些数据泄露是否给个人带来了“实际威胁”。

咨询公司Protiviti的总经理Ewen Ferguson表示,企业将很难判断这些标准,“毕竟,数据泄露会有很多种情况,比如一位雇主的笔记本电脑遭窃,其中存有有限的个人非财务信息,以及大规模的信用卡信息遭恶意盗窃……数据泄露往往由许多因素导致,其结果也并非总是直接的。”而且在许多情况下,企业也很难判断是谁窃取了这些数据,他们采取了什么方式窃取,用意何在,这都使得企业很难界定事情的严重性,以及造成的影响。

此外,法案还规定,只有年收入超过300万澳元的企业或组织才需要告知信息遭泄露的个人。有专家表示,300万澳元的门槛会带来“潜在的问题”。网络安全公司Threat Intelligence的Ty Miller认为,信息的披露不应该基于企业或组织的营业额,而是信息的敏感度和数量。“如果按照这一法案,一个收集了数百万人信息的非盈利项目就不必告知数据遭泄露的个人,因为它没有从中赚钱。”

%e6%be%b3%e6%b4%b2%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e4%b8%ad%e5%bf%83
4月21日,澳洲总理特恩布尔公布了一项价值2.3亿澳元的网络安全策略计划,其中一个重点项目就是要把澳洲网络安全中心(ACSC)从堪培拉的情报部门迁出,走进社区,并在全国省府城市广设分部。

除了引入相关法案,联邦政府还在政策方面做出努力,加强抵御网络攻击的能力。今年4月21日,特恩布尔公布了总额2.3亿澳元的网络安全战略计划(cyber security strategy),推出多达33项措施,包括任命一名部长出任新设立的“网络大使”,该职务将协助他管理网络安全事务,并负责各机构与企业之间的沟通,以及在国际范围内交流网络安全战略;在学校教导互联网安全课,使网络活动更加自由安全。新计划预计可创造100个新职位,包括为政府的电脑应急小组和执法机构增加人员。

同时,特恩布尔还首次承认,澳洲政府不仅着重网络防御,同时具备网络反击能力。他表示,澳洲信号局(Australian Signals Directorate)与美国和英国的同类机构一样,具有“非常强的(反击)能力”。今年8月,澳洲信号局就曾向高中招募低至14岁的学生,组建一支白帽黑客(white hat hacker)团队,来帮助国家抵御网络攻击。

有报道称,过去三年,已经有超过100名高中生在信号局得到实习工作,并有相当一部分在之后选择作为学员或者毕业后加入信号局。该部门认为这种做法可以让这些孩子们把他们的技术和能力用于保护国家而不是进入不道德的“黑暗世界”。信号局在分发的资料中引用了网络游戏和著名电影中的句子,以吸引学生加入信号局,打败“邪恶”。

这并不是第一个招募高中生的政府部门,美国国安局(National Security Agency)和英国政府通讯总部(Government Communications Headquarters)都曾做过这样的事情。

借助这项计划,特恩布尔有意将澳洲打造成一个“网络智能型国家”,“我们必须确保,由网民,而不是政府来管理网络。与此同时,网络空间再也不能是一个法外之地。”

20160421163955191

 

责编/吴士己 设计/夏小正
资料来源:澳洲广播电台9月23日Yahoo Breach Puts Focus On Australian Consumer Hacking Protections、《澳洲人报》4月14日Australia A Prime Hacking Target、澳洲广播电台2013年5月8日Google Building Hackers Say Australian Offices At Risk、英国《卫报》2月3日Sophisticated Hacking System May Be Behind Hoax Threats Received By Australian Schools、《悉尼先驱晨报》2015年12月4日Delayed Australian Data Breach Notification Bill Lands、cso.com.au 3月7日Mandatory Data Breach Notification Proposals Will Unleash Compliance Confusion、《澳洲人报》7月14日Voluntary Cyber Security Health Checks: Is This Enough?、《联合早报》4月22日《澳洲二亿余元加强抵御网络攻击能力》(本专题图片均来源于网络)

本文原载于澳洲华语新闻周刊杂志《CITYWEEKLY 城市周刊》第237期

澳洲新闻 澳洲社会
631

发表评论

电子邮件地址不会被公开。 必填项已用*标注

error: 内容已受保护