5G商转、物联网建设,面对科技的快速演化,许多中小企业也加紧脚步进行数字转型。然而,趋势科技全球核心技术部的资深协理张裕敏却提醒,中小企业若安全意识不足,很可能让自己沦为黑客攻击的潜在目标。
张裕敏过去曾针对网络攻击做过许多精准的分析与预测,他在去年三月举办的台湾安全大会上预测,工业物联网以及瓦斯公司可能成为下一波攻击的对象,随即有四间美国瓦斯管线公司因黑客入侵而导致链接与通信中断。张裕敏表示,他并非有私人线报,而是黑客攻击有其周期性。通过大量关注黑客的数字轨迹,安全分析师便可推测黑客的攻击途径。
大众安全意识薄弱,基础设备成攻击目标
趋势科技全球核心技术部的资深协理张裕敏呼吁,大众要更加提防黑客针对关键基础建设进行的攻击。
今年,张裕敏则呼吁大众要更加提防黑客针对关键基础建设进行的攻击。这些基础建设不只包含水利、能源等大型设备,而是更加贴近人们生活的基本设施。张裕敏枚举了三种,包括网络基础设施(如路由器、公共Wifi等)、金流基础设施(如一般公司的后台金流系统及实体的ATM)以及信息媒体基础设施(包含一切传达信息的平台,如电视及社群媒体),这些贯穿人们日常的设施,其实蕴含很多隐性的威胁是大众所没有意识到的。
其实要当一个黑客是相当容易的。以张裕敏的话形容:“要工具有工具、要方法有方法、要目标有目标。”在程序源码公开网站Github上,就有免费提供的监听模块等入侵用工具的程序代码。此外,在被称为“世上最危险搜索器”的Shodan网站上,黑客不仅可以轻易找到与互联网链接的设备如公共Wifi、交通信号灯系统或银行监控系统的IP地址,另一个名叫ICS Radar的网站甚至还为黑客们整理哪些网站有安全漏洞。
在成为黑客的门槛不断降低的同时,大众的安全意识却进展得相当缓慢。尤其在许多中小企业因应时代趋势进行数字转型的当下,却没有思考到黑客攻击的危险性。趋势科技营销协理陈亭妏举例说,在2017年时勒索软件的攻击相当盛行,到了2018年却有明显下降的趋势,他们认为,攻击数下降很可能是因为攻击对象从个人转向到公司,绑架公司借以运营的ERP系统或其他对外网络服务器,有些公司不愿张扬,便私下付赎金了事而不回应。
“黑客怎么样都可能打进来”,数字转型不能漏掉防备戒心
依靠“无线电遥控器”操作的工厂机械手臂、天车等,一旦遭黑客利用恐将危害工业安全。
张裕敏强调,安全意识薄弱是很危险的事。许多人以为蓝牙距离短就放下戒心,但现在市面上可以用很便宜的价格买到指向天线,把蓝牙连到好几公里外的距离。另外,未来的5G发展也会是另一个可能的安全破口,因为5G链接不用通过路由器,许多企业就会因而失去网络边界,直接进入所有人共享的网络频段,使攻击变得更多样、更难防备。
张裕敏表示,许多中小企业没有资金和人才做安全防护,他希望更多安全公司可以一同合作,提供数字转型和物联网建设的相关辅导,并呼吁政府创建平台,协助更多中小企业维护信息安全。而针对较有资源的大企业,张裕敏则希望他们以“黑客怎么样都可能打进来”的思维,仿真黑客的做法,才可能做到滴水不漏的防护。