繼數碼港之後,消委會電腦系統同樣遭黑客破壞,海量資料及公眾私隱外洩,但兩大機構同樣堅拒交付贖金。今年發表的網絡安全報告指,全球政府部門受黑客勒索的比率持續上升至 69%。雖然以公帑交贖金會變相鼓勵犯罪,但仍然有 34% 公營部門選擇屈服,皆因重建系統開支有時比贖金更高昂,有專家就建議政府參考私營機構措施避險。
網絡安全公司 Sophos 發表的「2023 年勒索軟件狀況報告」(State of Ransomware 2023)指出,國家與地方政府機構受黑客勒索之比率由 58% 按年升至 69%,超出全球平均值;在 76% 政府機構所受攻擊中,黑客會把資料數據加密,繼而向政府進行勒索;只有 19% 黑客攻擊在資料加密前能停止攻勢。
報告提到,有 34% 公營機構交付贖金以取回數據,其中有多達 28% 機構支付 100 萬美元或以上的巨額贖金,比例較過往上升,此外有 60% 機構支付不足 10 萬美元贖金。另外,有 75% 機構是依賴資料備份取回數據,而公營部門的資料備份比率亦由 63% 按年上升到 75%。
政府立法禁止繳付贖金
前以色列國防部網絡情報分析師 Elad Leon 曾在美國「國會山報」撰文分析指,過去幾年公營部門向黑客屈服的比例更高,2021 年平均贖金金額為 21.4 萬美元,其中公立的加州大學向黑客支付 114 萬美元;佛羅里達州里維埃拉海灘(Riviera Beach)市政府繳付了 60 萬美元;科羅拉多州拉法葉(Lafayette)鎮政府繳付了 4.5 萬美元。
這種與犯罪集團的交易,無疑助長更多類似的黑客勒索;而使用納稅人的錢支付贖金同樣惹起民間反彈,以致部分美國州政府近年立法禁止繳付贖金。除了涉及可危害性命的醫療服務,全球執法機關亦普遍反對支付贖金,又認為即使交付贖金都不能保證被盜取資料不會外洩。
然而,不繳付贖金的代價有時意想不到地高昂,哥斯達黎加案例就是證明。去年哥斯達黎加數十個政府與公共部門被俄羅斯黑客勒索,被要求支付 2,000 萬美元贖金,政府拒絕屈服而尋求其他解決方案,結果網上服務暫停兩個月,每日經濟損失多達 3,000 萬美元,政府要逐個部門重建系統。另一個例子來自以色列,去年有公營醫院遭受黑客勒索,被政府禁止支付贖金,結果不得不花費高達 1,100 萬美元公帑緩解攻擊。
Leon 建議,政府要真正保護納稅人利益,答案不僅僅在於購買愈來愈昂貴的保險,或者增加受黑客攻擊後的資訊透明度,而是應該參考私營企業的應對策略。具體而言,政府機構、圖書館、學校和醫療部門,應該定期對風險進行量化評估,並且計算資料外洩的潛在財政損失。這有助於部門知悉,有多少納稅人資產暴露於風險之中,並確保在網絡安全的投資正確,同時為潛在攻擊做好預算準備。
有鑑於黑客攻擊是無可避免,所有部門都必須建立全面應對策略,如員工培訓、網絡攻擊演習、在指定時間內提交準確報告、應對傳媒的公關策略等。此外,所有政府數據和活動都應該置於中央防禦框架之下,必須遵守數碼安全部門建立的準則,數碼安全部門也要了解各部門的特殊需要,以提供實用的防禦方案。
