澳洲網絡安全中心(ACSC)發表其第三份年度網絡威脅報告,揭露該中心在上個財政年度接獲超過 76,000 宗網絡罪行報告,數字較一年前上漲 13%。
有關數據意味該中心平均每七分鐘就接獲一份新報告,較上一年的八分鐘一份更為頻密。
雖然接獲報告的網絡罪行中有超過一半都是針對個人的詐騙及盜竊行為,報告亦指出受別國政府支持的網絡攻擊者正將網絡空間變成「戰場」,更加點名指摘中國國家安全部,以及與伊朗及俄羅斯有聯繫的組織。
澳洲總理艾巴尼斯星期五(11 月 4 日)在記者會上說:「這是一個巨大的警號,本地企業需要齊心協力...... 我們需要做得更好。」
續指:「政府已採取行動,私營企業亦需要採取行動,維護顧客的利益,同時亦維護企業本身的利益。」
近期,澳洲出現大規模及備受矚目的事件,包括針對電訊商 Optus 及私營醫療保險公司 Medibank 的網絡攻擊,導致數百萬澳洲人的個人資料被洩露。
冰山一角
網絡安全中心中心表示,新公布的數據僅是情況的一部份,主要由於有很大部份的網絡攻擊未有被正式報告。
中心主席布拉德肖(Abigail Bradshaw)表示,該中心正努力應對「惡意軟件及網絡犯罪工具的持續商業化」和「敏感被盜資料的武器化及貨幣化」等現象,而這些情況目前都被犯罪組織大規模地利用。
布拉德肖表示,她特別憂慮不少本地機構的系統內仍然存在重大軟件漏洞,這些漏洞正是犯罪集團及敵對國家可以迅速進行攻擊的渠道。
她說:「不少這些(漏洞)目前可以在數天甚至數小時的時間就被利用,而非過往的數星期。」
中心發表的報告亦匯報了兩宗嚴重網絡攻擊,均導致關鍵基礎建設、聯邦政府機關或政府服務的「重大妥協」,但報告未有提供進一步詳情。
中心亦指,越來越多本地企業報告遭受勒贖軟件攻擊,犯罪集團「透過威脅對外公開數以十萬澳洲人的資料,作為勒贖的手段」。
中心在過去一個財政年度處理了 135 宗勒贖軟件事件,較一年前上升 75%。
網絡罪行對本地企業的損失
本地企業經歷網絡罪行後所遭遇的平均損失亦有所上升。小企業遭遇網絡攻擊後平均錄得接近 $40,000 的損失,中型企業平均錄得大約 $88,000 損失,大企業平均錄得超過 $62,000 損失。
報告亦披露,網絡犯罪份子利用虛假電郵向公司作出詐騙,包括誘騙企業東主或僱員透露機密商業資訊。過去一年,本地企業合共因此損失接近 1 億元,其中有部份在西澳的企業遭遇「超過 100 萬元的損失」。
內政部兼網絡安全部長歐妮爾(Clare O’Neil)表示,鑑於這份「令人憂慮」的報告,期望本地企業更好地處理客戶的個人資料。
她星期五向九號台說:「對於國內的大企業,你對澳洲人負有義務,特別是如果你正在收集及保存有關你客戶的個人資料。」
「我期望商界能作出改善、做得更好。」
俄羅斯動員針對烏克蘭發動網絡攻擊
布拉德肖又指,俄羅斯在入侵烏克蘭期間所作出的網絡戰,並動員網絡犯罪集團向烏克蘭政府機構發動攻擊,是「重大而且嶄新的」。
她說:「過去 12 個月,我們可見針對烏克蘭的常規武器攻擊及網絡罪行攻勢互相並行。」
該報告亦指出,一些犯罪組織或個別人士「為支持俄羅斯或烏克蘭的利益,而在未經政府統籌下開展(網絡攻擊)行動」。
但報告未有列出俄羅斯組織針對澳洲企業或政府機關發動網絡攻擊的例子。
國防部長馬利士(Richard Marles)表示,澳洲經歷越趨嚴重的惡意網絡行為,又指這是反映全球正在演變的狀況。
他說:「這在烏克蘭被野蠻入侵的一事上得以體現。俄羅斯試圖不僅透過傳統武器作出破壞,亦透過使用毀滅性惡意軟件。」
內政部長歐妮爾表示,近期發生的事件顯示澳洲企業有必要處理好網絡安全。
她說:「澳洲獨特的地緣策略位置及資訊豐富的環境,意味我們都需要共同努力建立我們的網絡防禦,並確保所有澳洲人都擁有抵禦網絡攻擊影響所需要的工具。」
如何保障自己?
對於個別民眾,澳洲網絡安全中心建議民眾在可行的情況下,設定較為安全的網上帳戶密碼及設置多重身份驗證(multi-step authentication)。
民眾亦應定期更新手機程式及操作系統,以確保所使用的設備擁有最新的保安程式更新,並定期將文件備份到硬碟等外置裝置,以防帳戶被入侵或盜用。
中心亦建議,利用有嚴格安全設定的網頁瀏覽器、關閉瀏覽器的瀏覽紀錄及電腦 cookie 記錄。
SBS 中文堅守《SBS 行為守則》及《SBS 編採指引》,以繁體中文及簡體中文提供公平、公正、準確的新聞報道及時事資訊。作為一個公共服務廣播機構,SBS 的主要作用是提供多語種媒體服務,為全體澳洲人提供資訊、教育性及娛樂性內容,並與此同時反映澳洲多元文化社會的特色。SBS 廣東話及 SBS 普通話電台節目均已為大眾服務超過 40 年。
