許多機構都有為重要數據安排備份,但為甚麼遭到網絡攻擊時,仍有重要數據遭到清洗?以下是個虛構故事,描寫的卻是企業 IT 人在現代網絡環境中,可能面對的實際情況。
Martin 在一間大型航空公司任職 CIO,公司 IT 服務近年在機構乘客意見調查中取得優秀評價。星期五的工作接近尾聲,當 Martin 準備下班後度周末,他看到來自保安系統的電郵──「高度注意:網絡安全事故」。
大部分同事仍未下班,Martin 迅速叫大家集合開會,分工追截威脅來源。用戶熱線的求助電話迅速攀升,答案很快出現:數以百計的機場終端電腦已遭惡意軟件感染。IT 熱線人員指示地勤儘快關機,但已經太遲──所有終端機已受到感染。Martin 發出一聲歎息。
惡意軟件像野火蔓延,受感染的終端機如骨牌倒下,顧客熱線收到大量憤怒的投訴。雪上加霜的是,惡意軟件有加密功能,已取得高權限帳戶掌控權,系統補救程序無法啟動。
災情在區域樞紐機場浮現,六座候機大樓、數以千計旅客滯留機場,CEO Marina 忙於用電話指揮滯留旅客的住宿安排,Martin 只好給 CEO 發短訊:未能阻截惡意軟件,災情將進一步擴大,IT 團隊進入全力緊急搶救狀態。周六清晨,Martin 在臨時安全指揮中心向 Marina 匯報,他們須由備份的數據恢復運作。
「上次數據備份是六個月前?」聽到下屬小飛的話,Martin 氣血上湧。Martin 這個周末畢生難忘,到周六下午,已連續三十小時沒洗澡睡覺。出事後小飛翻查紀錄,才發現前任同事沒有轉移備份管理權限,網絡附加存儲 (NAS) 五個月一直閑置。結果 Martin 採取緩慢方法,動員同事用三個月前的預訂系統軟件更新版,逐部電腦人手進行搶救恢復。
事件擾攘四天,航空服務才回復正常,媒體報導極為辛辣。CFO 估算事件帶來的經濟損失,包括員工加班費、旅客滯留住宿開支、對商譽的影響,並可能面臨監管機構罰款、失去未來合約,估計損失近 2800 萬港元。
故事雖屬虛構,但網絡安全對現今企業的威脅卻十分真實,失誤往往來自連串技術及人為錯誤。Martin 雖願付出心力,但他團隊的專業水平和資源,未足以做到全面的網絡防衞。汲取教訓,他不應單靠幾個保安資訊事故管理 (SIEM) 及網絡管理應用程式,而要考慮採用專業的網絡防衞顧問服務,制訂持續的機構網絡防衞計劃,並設立中央化的事故管理樞紐。若一早採用自動化的雲端方案進行數據備份,建立「災難恢復即服務」(DRaaS) 方案,就可避免故事中的連串疏失,令系統遭受攻擊時迅速恢復,大大減低事件的傷害。
在現今網絡環境,任何機構均沒可能永遠不受攻擊。網絡的防衞者,只能未雨綢繆、與時並進。
作者: Job Lam
IBM 香港資訊安全業務總經理
