广达MacBook组件图传遭骇 高虹安:「资安国家队」应尽快解决
▲高虹安召开「勒索软体骇全台 又传大企业受害」记者会。(图/记者屠惠刚摄)
电子代工大厂广达传出被骇客入侵,骇客还在暗网泄漏10几份MacBook组建的示意图,要求广达4月27日前必须支付5000万美元赎金。对此,民众党立委高虹安警示相似产业受资安攻击,可能冲击股价、影响商誉而掉单,进一步导致我国科技业的长远危机,政府「资安国家队」应尽快提出解决方案。
美国网路媒体BleepingComputer今(21日)率先披露(bit.ly/3xejmGi),一群使用勒索软体Revil的骇客试图勒索Apple要求其买回产品蓝图,更涉嫌从Apple笔电制造商广达电脑的网路中窃取大量数据资料,并要求广达4月27日前必须支付5000万美元赎金。
高虹安上午召开记者会表示,现在资安勒索比大家以为的、台面上看到的多很多,包括之前宏碁、仁宝都曾经遭到骇客锁定攻击并遭勒索赎金,即便是这么大的公司,资安防护跟稽核都无法滴水不漏、防不胜防,一方面除了骇客的勒索手法与使用软体持续进步外,另一方面则突显我国企业资安人才缺乏与资安防护漏洞严重的问题。
高虹安也解释,勒索软体(Ransomware)是一种源于密码病毒学(cryptovirology )的恶意软体,除非向骇客支付赎金,否则它会威胁发布受害者的数据或永久阻止对目标档案的访问,尽管某些简单的勒索软体仅是锁定系统,从而使技术高超的人不难解除,但更高级的恶意软体使用一种称为「加密病毒勒索」(cryptoviral extortion)的技术。它会加密受害者的文件,使其无法访问,并要求支付赎金以解密。
高虹安指出,勒索软体攻击的泛滥,凸显出我国企业资安的长期问题,包括业界长期反应缺乏专业资安人才的培养计划以及政府资源错置,如CTF 竞赛偏向骇客攻防技术,和实际政府和企业的防御性资安人才需求有落差,如今就连企业资安防守的课程要找到合格师资也相当困难,如何正确的布署资安的纵深,并强化整体企业资讯防护安全,是政府相关单位的当务之急。
高虹安呼吁,政府与社会应该要对资安攻击背后的目的以及对于事业体、国家可能造成的严重伤害有充分认知,数个公司、数个相似产业的事业体遭受攻击,除了损失赎金与客户资料、冲击股价甚至影响商誉而掉单,都可能导致我国科技产业的长远危机。
最后,高虹安也表示,政府既已号称成立「资安国家队」,就应该尽快提出包括应对勒索软体在内的资安解决方案,协助科技产业加强与整合资安防护资源,共同发展最适当的防御因应措施,以保护我国科技产业与全民的资讯安全不受勒索威胁。