WHO在2020年遭受網絡攻擊後緊急採取新安全措施 - 《華爾街日報》

作者：凱瑟琳·斯特普2022年7月19日 上午5:30（東部時間）|WSJ專業版在新冠疫情初期，世界衞生組織的網絡安全團隊遭遇了黑客攻擊其系統的嘗試激增以及一起導致該組織部分數據在線泄露的網絡攻擊，措手不及。

黑客們利用危機初期普遍的恐慌和混亂，向全球公司發送釣魚郵件，而分心的員工們正忙於適應在家辦公的新現實。2020年4月，世衞組織披露了一起攻擊事件，黑客將其部分內部數據發佈在網上。作為回應，弗拉維奧·阿吉奧，該組織的首席信息安全官，迅速推進了一系列網絡安全項目，引入新技術和流程以保護世衞組織的網絡和員工。

“疫情開始時我們才驚醒，”阿吉奧先生説，他在世衞組織日內瓦總部工作，向世衞組織首席信息官彙報。

世衞組織首席信息安全官弗拉維奧·阿吉奧。照片：弗拉維奧·阿吉奧關鍵的改進包括在數百個世衞組織系統中實施多重認證（這些系統之前沒有此功能），以及建立一個全天候監控威脅的安全運營中心。另一個項目通過消除偽造郵件的過程加強了電子郵件安全。

阿吉奧先生表示，在2020年的事件中，黑客泄露的數據似乎主要來自外部網站，暴露了員工用於這些外部賬户的舊密碼。泄露的數據中包含少量直接從該組織一箇舊系統中竊取的信息，阿吉奧稱這部分數據僅佔黑客公佈數據總量的不到1%，且不包含任何敏感信息。

世衞組織當時發佈的聲明指出，有450個該組織的活躍郵箱地址和密碼遭泄露。2020年4月的聲明稱，針對世衞員工的網絡攻擊和冒充該組織的郵件詐騙事件激增了五倍。

世衞組織披露此事部分是為維護聲譽，當時該機構正面臨疫情期間的嚴格審查。“我們當時正疲於應對各種問題…這起事件讓我們分心，“阿吉奧説道。他透露已掌握攻擊幕後黑手的線索，但拒絕進一步置評。

網絡攻擊者在疫情期間將目標鎖定醫院、醫療企業和歐洲藥品管理局等公共機構。

黑客還偽造世衞組織郵件套取收件人個人信息，導致多家機構直接屏蔽了聲稱來自該全球衞生組織的郵件。很快世衞組織通訊團隊發現，正當的機構郵件無法送達記者手中。阿吉奧表示這是新出現的問題。隨後世衞組織發佈了關於這些詐騙的警告。

阿吉奧先生加速推進了他在2018年啓動的改革計劃，通過迅速加強世衞組織電子郵件和用户賬户的安全性，並增派人員防禦網絡攻擊，將原本預計需要三年完成的工作壓縮至12個月。

他的團隊為大多數尚未採用多因素認證的世衞組織系統添加了該功能——要求員工通過應用程序驗證身份。他表示，全球數百個系統獲得了這項額外保護，並補充説安全和信息技術團隊為此付出了"瘋狂的工作時長”。

他指出，雖然部分系統的升級過程很快，但更復雜的網絡需要數週時間進行身份驗證測試。

研究機構Gartner公司的副總裁分析師安特·艾倫表示，對於技術基礎設施複雜的大型組織而言，實施多因素認證可能需要數週甚至數月時間。

他解釋道，企業在確定認證方式後，需要指導員工或其他用户瞭解這一變化將如何影響工作。大型企業可能會選擇分階段啓用多因素認證，以避免服務枱應接不暇。

“要找到完美的方法實在太難了，必須在認證強度、用户體驗和成本之間取得平衡，“艾倫先生説。

阿吉奧先生表示，如今他掌握的針對世衞組織的網絡威脅數量和類型數據比以往任何時候都多。此前，世衞組織內外人員每月平均只報告一到兩個風險或潛在漏洞。

如今，藉助新型智能軟件和安全運營中心，阿吉奧表示，他的團隊每月能檢測到數百起威脅，包括電子郵件釣魚攻擊和潛在嚴重漏洞。

為防範此類釣魚攻擊，阿吉奧團隊實施了名為"基於域名的郵件認證報告與合規”（DMARC）的安全協議，可攔截非真實發送者的郵件。他表示，該協議攔截了發送給世衞組織員工的70%冒充郵件，以及發送給外部人員的偽造世衞組織郵件。

由於疫情期間網絡攻擊激增，阿吉奧團隊開始對所有新開發的世衞組織應用程序進行風險評估，並在上線前實施滲透測試。

2020年遭遇攻擊後，阿吉奧獲得了實施新安全措施的額外資金，目前正在尋求更長期的資金支持。他拒絕透露具體金額。他計劃為世衞組織安全運營中心再招聘兩名員工，與現有三名網絡安全防禦人員協同工作。該中心每月從全球各地收集約90億條日誌記錄，潛在嚴重威脅會被提交給阿吉奧領導的八人網絡安全專家團隊進行調查。

阿吉奧表示，這套新防禦體系讓世衞組織安全團隊更清晰地掌握了黑客試圖入侵其網絡的多種手段。

“我們現在能掌握動態了，“以前我們做不到。”

世界衞生組織的一次網絡泄露事件中，包含黑客直接從該組織一箇舊系統中竊取的數據。照片：阿曼達·佩羅貝利/路透社聯繫凱瑟琳·斯塔普，郵箱：[email protected]

刊登於2022年7月20日印刷版，標題為《世衞組織遭黑客攻擊後加強安全措施》。