消委會和數碼港接連被黑客勒索,很多人都對公營機構的網絡安全抱有懷疑。其實類似情況在公營機構絕不罕見,美國北卡羅萊納州的地方政府便長年被黑客光顧,去年成為全國首個嚴禁向黑客交贖金的州政府。究竟他們在汲取失敗經驗後,得出甚麼防禦方案?
今年較早時候,北卡州司法部發表報告指,去年所有上報的數據外洩事故中,近半涉及黑客勒索軟件攻擊。過去 10 多年數據外洩事件持續增加,2021 年錄得多達 2,009 宗,去年首次回落,跌至 1,900 宗。州司法部長 Josh Stein 指出,去年數據外洩波及 300 萬居民。
北卡地方傳媒 Spectrum News 按照「資訊自由法」(FOIA)向州政府的資訊科技部查閱外洩報告。刪剪敏感內容後,公開報告涵蓋 2018 年 10 月至 2021 年 10 月,顯示州和地方政府有超過 130 宗惡意軟件事件報告,勒索軟件為其中之一,部分襲擊被證實由俄羅斯犯罪集團發動。首席資訊安全官員 Eric Zach 坦言,好像所有人都不斷面對被試探、被考驗,「看大家的解決方案有否修補漏洞,技術又是否最新」。
北卡帕米利科縣(Pamlico County)註冊署職員 Lynn Lewis 負責維護各種記錄,包括出生和死亡證書、婚姻、執照和物業記錄。去年聖誕假期後,她發現辦公室的電腦沒有反應,很快就看出數據供應商受到網絡攻擊,其辦公室及其他地方的辦公室都無法連線。由於有實體文件備份,Lewis 的仍能繼續運作,「我們未完全停滯,只是速度緩慢」。
帕米利科縣是農業社區,人口不足 1.25 萬,似乎不太可能是勒索對象。來自俄亥俄州的數據服務供應商 Cott Systems 幾天後承認受黑客勒索軟件攻擊,已聘請專家對其伺服器進行取證分析。Lewis 坦言有預感供應商可能受攻擊,所以始終未有把系統徹底數碼化,雲端存儲的只是數碼副本,她的應變方案自然是回到原始的實體文件夾。
「數據將會每季度備份一次」
類似黑客勒索事件在美國絕不罕見,黑客通常來自俄羅斯之類的國家,對雲端系統或網站數據進行加密封鎖,再要求支付款項以取回數據。最轟動案例是 2021 年對美國油管系統 Colonial Pipeline 的勒索攻擊,中斷了燃氣運輸,使油價飆升;2020 年 SolarWinds、Microsoft 和 VMware 的軟件漏洞同樣成為黑客攻擊的後門,更直接黑入幾個美國聯邦部門。
為解長年黑客之患,州政府去年成立了「北卡州聯合網絡安全工作組」(North Carolina Joint Cybersecurity Task Force),旨在協助州政府機構、學校系統和地方政府對抗網絡攻擊。州長 Roy Cooper 坦言:「烏克蘭被入侵,以及受俄羅斯啟發的網絡攻擊威脅,提醒我們網絡威脅每天都在。」
工作組主要協調關鍵的州政府機構,如資訊科技部、應變管理部、州國民警衛隊,以及地方政府資訊系統協會(LGISA)的網絡安全打擊小組。譬如帕米利科縣政府資源有限而持續受網絡威脅,工作組就可提供急需的支援。儘管交付贖金是誘人的捷徑,但去年起北卡州已禁止公營機構和地方政府支付贖金,為全美國首個立法禁止交贖金的州份。工作組發言人坦言,交贖金只會加劇惡性循環。
為數據做好備份,永遠是萬全之策。當然不必然要像 Lewis 般回歸原始的紙本文件,這對要管理龐大人口的政府而言絕不可取,但其實多做幾個數碼備份,已可減少每次受攻擊的損失,免得慌不擇路而要交贖金。Lewis 坦言:「我們的供應商,確實有為我們的資料進行足夠有餘的備份,所以我很放心,我們的資料沒有遺失。他們每年都會給我們所有數據的備份,不論是 CD 或 USB 外置磁碟,我未來會嘗試要求每季度進行一次備份。」
