各行各業都在面對不同形式的互聯網威脅。短短數年前,電腦入侵聽起來只像荷里活科幻片,甚至是《職業特工隊》特別製作的情節,但今時今日當你連接上網絡世界,往往會忘記,其實網絡世界也會連接上你。
企業大多忽視網絡保安風險
商業風險管理意指預測及評估財務風險,從而構思出有效方法來避免或減低風險。但是如何能令「管理人員」懂得瞭解、管理及減低現今的網絡風險?可惜的是,除了資訊科技部門外,大部分管理人員都不明白(或無意明白)由網絡威脅所帶來的真實風險。另一方面,資訊科技管理人員往往沒有足夠權力來執行大部分必須作出的改善措施,在電腦保安上也受限於企業思維和公司預算。
最近南韓有 40% 人口就被黑客盜取了個人資料。到底要讓問題惡化到什麼地步,大家才會正視問題?現今社會上,智能手機和平板電腦大行其道,假如遇上辦公室網路安全監控不足,這些裝置便能突破公司防火牆。不僅如此,辦公室還胡亂安裝越來越多的智能「上網」裝置,包括辦公室打印機、傳真機、電話、錄像監控、網路攝影機以及影印機,這些設備都能用來無聲入侵辦公室網路,或攻擊辦公室網路系統之外的第三方裝置。
物聯網為黑客打開大門
每 3 小時就有 100 萬部新裝置連接至互聯網。黑客入侵方法層出不窮,例如是三星冰箱被組建成發送垃圾郵件的殭屍網路這種荒誕事(在入侵事件被發現前已發送了 75 萬封垃圾電郵),或是入侵網路會議電話以監聽公司的董事會會議這種陰謀。更惡劣的是,入侵網路攝影機,甚至嬰兒監視器,以圖監視別人家中的情況或及他們的小孩。
研究機構預測,2020 年將有超過 500 億部裝置連接至互聯網。近期黑客成功對美國零售業作出的一次最大型電腦入侵,可說是從受害公司的冷暖空調系統發現保安漏洞。研究人員因而發現,超過 55,000 個同類型冷暖空調系統都被連接至互聯網,而且有關系統大多存在基本保安缺陷。想當然,這些受影響公司的保安措施不足,供應商更往往利用相同密碼來管理多個客戶記錄。
使用預設密碼等同不設密碼
上網裝置使用的 SHODAN 搜索引擎被 CNN 稱為「互聯網上最可怕的搜索引擎」。引擎本身標榜能夠助你找到不受保護的網上裝置,包括「網路攝影機、路由器、發電廠、iPhone、風力發電機、冰箱和網路電話」。福布斯更因此將 SHODAN 形容為「恐怖」。這個系統能夠每月從超過5億個連接互聯網的裝置和服務上收集資訊。醫療設備也可以被入侵,例如手術和麻醉裝置、心律調節器、胰島素泵和化驗分析工具等。
但令人難以置信的是,很多人從不關心這些物聯網裝置的 ADMIN 密碼,一旦黑客找上你的裝置,很多時候只要輸入 ADMIN / 123456 便能成功入侵。換言之,這跟沒有設定密碼毫無分別。
現實中嚴酷的是,大型企業和政府部門的行動仍然充滿繁瑣手續,但是黑客和犯罪組織的行動速度卻比得上互聯網。哪一方處於優勢不言自明。另一個不應該忘記的殘酷現實是,面臨入侵威脅的公司都需要成功抵禦無數猛烈攻擊,但是黑客只需要成功入侵一次即可。
你不可以迴避今日當為之事,以逃避明日的責任。"
-亞伯拉罕林肯。
漠視網絡威脅任由問題惡化
儘管事實放在眼前,並且愈來愈多媒體頭條報導世界各地不同公司和政府備受網路攻擊的新聞,但大部分高層管理人員仍漠視網絡威脅。
有時候,黑客成功入侵的規模越大,甚至泄露了過百萬筆個人資料,全球的反應卻越是麻木,這個事實委實令人震驚。雖然你可以輕鬆更改密碼,卻不能隨意更改社會安全號碼、護照號碼、住址或手機號碼。隨著黑客成功入侵的次數越來越多,我們便越為脆弱,因為黑客們越來越清楚我們的個人身分資料。
可惜的是,往往直到成為黑客攻擊的受害者,各機構才會認真正視網絡安全問題,但有時卻甚至任由問題惡化。
別再浪費時間,現在就採取適當防護措施。
作者:Network Box Corp. Ltd. 董事總經理兼創辦人兼創辦人 Michael Gazeley。Network Box 在十多年前成立,現時是全球頂尖的網絡保安管理服務供應商之一。憑藉在資訊科技業 20 多年的經驗,Michael 榮獲世界知名的 ISC2 認可(國際資訊系統安全核准聯盟),在 2007 年獲頒首屆亞太區資訊安全領導成就獎。