1/4新加坡人個資外泄!KPMG提5點示警:用LINE、FB也要小心

▲KPMG數位科技安全服務負責人謝昀澤。(圖/資料照)

記者賴亭羽臺北報導

日前新加坡才發生含總理李顯龍在內,有1/4新加坡國民的健康醫療個資駭客竊取後,越南政府電腦緊急處理小組(Vietnam Computer Emergency Response Team, VNCERT)近日針對越南國內政府、電力金融運輸等重要關鍵基礎設施 (Critical Infrastructure, CI)也發佈了嚴重警告,原因爲越南上述產業面臨高度針對性深度網路攻擊。

KPMG數位科技安全服務負責人謝昀澤表示,「依據我們與新加坡國家網路安全局(CSA)實際的互動交流經驗,新加坡這樣一個有高度資訊風險意識,無論在網路安全的法律人力財力投入都堪爲模範的國家,也會發生大規模的關鍵基礎設施攻擊,及國民個資大規模外泄的事故,那其他國家更應該擔心。」

除了臺灣已經通過「資通安全管理法」以作爲政府與關鍵基礎設施產業的資安落實依歸外,KPMG資安實驗室主管林大馗也針對我國重大的油、水、電,與金融、醫療等機關,提出了預警。他認爲,依據歷史的教訓,獨立網路不能做爲安全保證,沒有做好資安防護,有下列特徵的關鍵基礎設施業者,無論公民營,都有可能成爲下一個受駭者

1. 未落實管理與派送系統(如微軟網域管理系統、防毒中控臺等)的網路存取、帳號管理控制與安全檢測

2. 未落實外點人員作業用電腦安全防護,而因資訊部門遠端作業,造成高權限帳號密碼外泄。

3. 未布建從點、線、面的防禦縱深。若駭客從外點進入,未將損害範圍限縮於該外點,因少數外點遭駭,進而影響到關鍵系統。

4. 未盤查「作業必要出入口」,或企業爲了維修方便而建立不爲人知的「維護管道」。

5. 未透過已發生的資安事故,模擬驗測關鍵系統現有安控程度。

謝昀澤也提醒,對臺灣的政府機關與關鍵基礎設施產業而言,核心營運的系統,如公文系統之於政府、醫療系統之於醫院、ATM系統之於銀行等,固然是資安防守的重中之重,但也不要忽略瞭如LINE、Facebook等社羣媒體在管理流程中,所隱含的國家機密與機敏個資傳遞者的重要性

謝昀澤強調,這些常用的工具,在關鍵基礎設施的實際運作中,現在已經不是隻扮演「社羣工具」的角色了:日常指揮通聯、傳遞重要資訊可能都要仰賴它們,應該已經具備「關鍵通訊設施」的地位,但這些系統多數是外商系統安全、資料傳輸管道,是政府或企業很難直接掌握。他提醒,所有對於關鍵基礎設施營運有重大沖擊的系統、工具或流程,都應該有應變計劃與演練過程,萬一風險發生時,才能將損害降到最低。