美國政府軟件供應商 Tyler Technologies 旗下陪審員管理系統近日被揭發存在嚴重安全漏洞,涉及美國加州、德州、伊利諾州、密歇根州、內華達州、俄亥俄州、賓夕法尼亞州及維珍尼亞州等至少 12 個司法管轄區,除美國多州外也波及加拿大地區。
有匿名安全研究員向媒體披露漏洞詳情,指出攻擊者可透過簡單暴力破解手法,取得陪審員姓名、住址、出生日期、電話號碼、電郵地址,以及涉及種族、婚姻狀況、犯罪紀錄及健康狀況等極度敏感個人資料。Tyler Technologies 於 2025 年 11 月 25 日確認漏洞存在,並表示正開發修復方案,但未有透露能否追蹤惡意存取紀錄或會否通知受影響人士。
漏洞技術分析
順序編號與暴力破解風險
是次漏洞核心問題在於系統採用順序遞增的數字識別碼作為陪審員登入憑證,而且系統缺乏速率限制機制。所謂速率限制是指系統限制用戶在特定時間內可進行的登入嘗試次數,目標是阻止自動化攻擊程式連續猜測密碼。當系統欠缺這項基本防護時,攻擊者可利用自動化工具在短時間內測試大量數字組合,從而獲取有效登入憑證。根據業界標準組織 OWASP 指引,順序編號配合欠缺速率限制屬於典型的「不安全直接物件參照」漏洞,攻擊者毋須具備高深技術知識,只需編寫簡單程式便能逐一測試識別碼,直至找到有效帳戶。
外洩資料範圍
有媒體實際查閱德州某縣陪審員入口網站後,證實可存取資料包括陪審員全名、出生日期、職業、電郵地址、手提電話號碼及住宅地址。由於法院要求潛在陪審員填寫詳細問卷以評估其服務資格,系統內更存有性別、種族、教育程度、僱主資料、婚姻狀況、子女數目、公民身份,以及是否曾被定罪或起訴等敏感資訊。部分陪審員因健康理由申請豁免服務時所披露的醫療狀況,同樣面臨外洩風險。
企業與機構啟示
數據外洩的財務代價
根據 IBM 發布《2024 年數據外洩成本報告》,全球數據外洩平均成本已攀升至 488 萬美元(約港幣 3,806 萬元),較上年增加 10%,創下自疫情以來最大升幅。公共部門作為關鍵基礎設施一部分,其外洩成本高於平均水平,而醫療保健行業連續 14 年錄得最高外洩成本,平均達 977 萬美元(約港幣 7,621 萬元)。
報告指出 70% 遭受數據外洩機構經歷顯著或非常顯著業務中斷,恢復時間超過 100 天的機構中,僅有 12% 能夠完全復原。涉及被盜憑證的外洩事件平均需要 292 天才能識別及遏制,較其他攻擊方式更漫長。這些數據說明數據外洩影響遠超即時修復成本,更涉及業務中斷、客戶流失、監管罰款及聲譽損害等長遠代價。
政府軟件供應商的責任
Tyler Technologies 作為北美最大型專注公共部門軟件供應商,市值超過 170 億美元(約港幣 1,326 億元),服務範圍涵蓋全美 50 個州份逾 15,000 個地方政府機構,客戶保留率高達 98%。公司 2024 年收入達 21.4 億美元(約港幣 167 億元),預計 2025 年將增至 23.3 億至 23.6 億美元(約港幣 182 億至 184 億元)。
今次並非 Tyler Technologies 首度發生安全事故,2023 年研究人員曾發現其案件管理系統存在漏洞,導致佐治亞州法院密封檔案、證人名單及心理健康評估報告等機密資料外洩;2024 年 3 月公司更遭勒索軟件組織 LockBit 攻擊,導致客戶社會安全號碼等敏感資料被盜並在暗網發布,公司其後同意支付和解金額處理相關集體訴訟,受影響人士可申索最高 3,500 美元(約港幣 27,300 元)賠償。
供應鏈網絡安全風險管理
美國網絡安全及基礎設施安全局近期發布《軟件採購指南》,為政府機構及企業提供供應鏈網絡安全風險管理框架。該指南強調機構在採購軟件前應進行供應鏈風險評估,評估範圍涵蓋供應商安全實踐、軟件開發流程、漏洞管理能力及第三方組件風險。
指南建議機構要求供應商提供符合 NIST 安全軟件開發框架的第三方認證,並在合約中加入網絡安全條款。採購團隊毋須成為網絡安全專家,但應與資訊安全總監及首席資訊官緊密合作,確保作出風險知情的採購決策。該指南及配套工具已錄得超過 10,000 名用戶使用及 4,000 次下載,反映各級政府及中小企業對軟件供應鏈安全的關注度正在上升。
供應商風險評估框架
企業建立供應商風險管理計劃時,應考慮以下關鍵要素:首先是風險分級,根據供應商接觸數據敏感程度及系統存取權限,將供應商劃分為不同風險層級,高風險供應商需接受更嚴格安全審查。其次是標準化評估問卷,按風險層級自動化安全問卷流程,減少人為錯誤及提高效率。第三是持續監控,網絡安全風險瞬息萬變,機構不能僅依賴定期審計快照,應採用安全評級工具持續監察供應商安全狀況。第四是合約保障,在供應商合約中加入數據外洩通報時限、賠償條款、審計權及終止條款。最後是第四方風險管理,評估供應商的供應商可能帶來連鎖風險,因為攻擊者往往透過供應鏈中薄弱環節入侵目標系統。
網絡保險的策略角色
網絡保險已成為企業風險管理策略重要部分,尤其對於處理敏感政府數據的承包商而言。根據業界慣例,政府承包商通常需要購買不少於 100 萬美元(約港幣 780 萬元)保額網絡責任保險,涵蓋網絡安全故障、私隱侵犯、通知成本及監管辯護費用。部分大型合約更要求 500 萬美元(約港幣 3,900 萬元)或以上保額。
網絡保險分為第一方及第三方兩種保障:第一方保險涵蓋數據恢復、客戶通知及信用監察服務等直接成本;第三方保險則保障因客戶數據外洩而面臨法律訴訟費用。鑑於數據外洩平均成本約為每筆紀錄 180 美元(約港幣 1,404 元),處理數千筆紀錄的中小企業可能面臨數十萬美元損失,適當保險保障可避免單一事故導致業務倒閉。企業在購買網絡保險時,應注意保單是否包含加密要求、最低安全標準及戰爭排除條款等細節。
採購決策的安全考量
對於依賴第三方軟件處理敏感資料的政府機構及企業而言,是次事件帶來重要警示。採購軟件時除考慮功能及成本外,更需深入評估供應商安全紀錄及應變能力。機構應要求供應商提供獨立安全審計報告,並在合約中加入數據外洩通報及賠償條款。
內部團隊亦應定期進行滲透測試,主動識別系統漏洞,而非完全依賴供應商安全聲明。根據 KPMG 研究顯示,公共部門往往因複雜資訊科技基建及老舊系統而面臨較高網絡安全風險,69% 政府受訪者表示對新技術缺乏了解或信任會削弱其投資信心。美國國稅局採購指引更要求供應商在合約期內及終止後持續符合 NIST 800-171 網絡安全框架,不合規軟件或硬件將被隔離直至修復。
基本安全措施的重要性
是次漏洞技術門檻極低,反映部分軟件開發商在基本安全措施上存在疏忽。企業開發面向用戶系統時,應避免使用可預測順序識別碼,改用通用唯一識別碼或隨機字串。系統亦必須實施速率限制及帳戶鎖定機制,在偵測到異常登入嘗試時自動觸發保護措施。
多重要素驗證已成為業界標準,要求用戶除密碼外還需提供額外驗證因素。根據 2024 年 Verizon 數據外洩調查報告,暴力破解及憑證填充技術佔所有密碼相關外洩事件近 70%,足見基本防護重要性。IBM 報告亦指出,廣泛部署安全人工智能及自動化技術機構,其外洩成本平均減少 220 萬美元(約港幣 1,716 萬元),顯示投資現代安全工具的回報可觀。
人力資源與技能差距
網絡安全人才短缺正加劇數據外洩風險及成本。IBM 報告顯示 53% 機構面臨嚴重安全人才短缺,較上年增加 26%,人手不足機構其外洩成本平均高出 176 萬美元(約港幣 1,373 萬元)。公共部門因薪酬競爭力較私營機構低,往往更難吸引及挽留網絡安全專才。
機構可透過以下策略應對人才短缺:投資員工培訓以提升現有團隊安全意識及技能,報告指出員工培訓是降低外洩成本首要因素;採用託管安全服務及延伸偵測與回應方案,借助外部專家填補內部能力缺口;部署人工智能及自動化工具減輕安全團隊工作負擔,讓有限人力專注於高價值任務。建立專責事故應變團隊並定期進行演練的機構,其外洩成本較沒有相關準備機構低 58%。
未來趨勢與總結
公共部門網絡安全形勢
公共部門正面臨日益嚴峻網絡安全威脅。根據互聯網安全中心報告,2024 年針對政府機構惡意軟件攻擊增加 148%,端點安全事件(包括數據外洩及未經授權存取)更激增 313%。勒索軟件攻擊持續困擾各級政府,富爾頓縣在遭受攻擊後需撥款 1,020 萬美元(約港幣 7,956 萬元)更換 25 年歷史軟件系統,另加 120 萬美元(約港幣 936 萬元)用於獨立驗證服務。
隨着政府服務持續數碼化,網絡安全投資已從可選項目轉變為必要開支。值得注意的是,超過一半遭受數據外洩機構選擇將增加成本轉嫁予消費者,透過提高產品及服務價格彌補損失,這種做法令網絡攻擊經濟影響擴散至更廣泛社會層面。
監管與問責趨勢
美國網絡安全及基礎設施安全局早於 2023 年 11 月已就 Tyler Technologies 及其他政府軟件供應商漏洞發出警告,顯示監管機構正加強對政府科技供應商審查。企業若涉及處理個人資料,需留意各州不斷更新的私隱法規,多重監管框架下的數據外洩成本較單一監管環境高出 27%。
Tyler Technologies 在今次事件中拒絕回應能否追蹤惡意存取紀錄,亦未承諾通知受影響人士,這種回應方式在監管趨嚴環境下可能面臨更大壓力。隨着聯邦採購規例即將新增專門網絡安全供應鏈要求章節,政府承包商需為更嚴格合規要求做好準備。
企業即時行動清單
企業可採取以下即時行動降低供應商相關網絡風險:
首先,審視現有供應商名單,識別處理敏感數據或擁有系統存取權限的關鍵供應商,並優先評估其安全狀況。
其次,檢討現有合約網絡安全條款,確保包含外洩通報時限、賠償責任及審計權等保障。
第三,建立或更新事故應變計劃,明確界定供應商外洩時通報流程、遏制措施及溝通策略。
第四,評估網絡保險保障範圍是否足以涵蓋供應商相關風險,並考慮要求供應商將公司列為附加受保人。第五,實施持續監控機制,利用安全評級工具或第三方風險管理平台追蹤供應商安全表現。
最後,與法律顧問合作檢討私隱法規合規義務,確保外洩時能符合各司法管轄區通報要求。
結語
Tyler Technologies 陪審員系統漏洞事件揭示了政府軟件安全結構性問題。當處理最敏感公民資料的系統採用最基本安全設計時,公眾私隱便面臨重大風險。政府機構在推動數碼轉型同時,必須將網絡安全視為核心要求而非事後補救。對於軟件供應商而言,即使客戶為資源有限公共部門,亦不應在安全標準上作出妥協。
今次事件提醒所有處理敏感資料的機構,基本安全措施缺失可能帶來災難性後果,而預防成本遠低於事後修復代價。隨着數據外洩成本持續攀升及監管要求日趨嚴格,投資網絡安全已非選擇題而是必答題,及早行動的機構將在風險管理及業務韌性方面取得競爭優勢。
來源:TechCrunch