社論：抵禦日益複雜的網絡威脅 | 聯合早報

在當今數碼化時代，網絡貫穿我們日常生活的方方面面。與此同時，網絡攻擊日益複雜，為確保我國在防禦網絡威脅方面與時俱進，國會昨天三讀通過網絡安全（修正）法案，擴大新加坡網絡安全局的監督範圍，保護我國數碼領域免受潛在干擾，更及時應對可能導致基本服務中斷的網絡安全威脅。

網絡攻擊事件在世界各地頻頻發生，令人不得不警惕。就在昨天，英國國防部傳出所使用的第三方工資系統遭到黑客入侵，導致退役與在役軍人的名字和銀行信息外泄。以網絡攻擊作為戰爭手段是一個真實的風險。關鍵基礎設施如電力網絡、通信系統、金融機構和政府部門的網絡系統，都可能成為攻擊目標，造成嚴重的經濟損失、社會混亂。我國的關鍵基礎設施也曾遭到黑客襲擊，2018年新加坡保健集團遭到網絡攻擊，約150萬人的個人信息被盜竊，包括李顯龍總理的門診配藥記錄。去年11月，本地政府醫院和綜合診療所網站遭到惡意攻擊而全面故障。

亞洲最大的網安方案供應商安信資訊安全公司（Ensign Infosecurity）上週五在報告中指出，發生在新加坡的網絡攻擊有超過一半的目的是勒索贖金。旭齡及穆律師事務所上週披露，在4月份遭到勒索軟件襲擊。一個自稱關注勒索軟件現象的獨立網站，指該律師事務所向Akira勒索軟件團伙支付了140萬美元的比特幣作為贖金。

在遭遇勒索時，政府反對受害者支付贖金，因為支付贖金不僅不能保證被上鎖的數據會解鎖，還可能鼓勵攻擊者繼續犯罪活動，導致更多的受害者。威脅者也可能將這些支付贖金者視為軟目標，再次發動攻擊。然而在現實中，受害者為了重新獲得系統的控制權，逼不得已還是得付款。

美國最大的聯合健康集團（UnitedHealth）年初發生網安事件，導致幾乎三分之一的美國人無法及時獲取醫療服務。該公司上週三在美國參議院聽證會上證實，向攻擊者支付了2200萬美元的比特幣贖金。據報道，公司支付贖金給一個俄羅斯犯罪團伙，但後者沒分贓給負責竊取數據的附屬機構，該附屬機構於是再次向公司勒索，並在暗網發佈幾份文檔。不可思議的是，這起網安事件的起因，是因為該公司沒有基本的安全措施，讓黑客潛入一台無須多重身份驗證（MFA）的服務器。

私人機構遭到網絡攻擊所造成的破壞，並不會比關鍵政府機構輕微。互聯網時代經濟活動環環相扣，當一家公司因為網絡攻擊須要切斷服務時，引發的骨牌效應可能影響整個行業的運作，甚至是人民的生活。隨着越來越多私人機構提供公共服務，它們必須更認真看待網絡安全，即便看似無關緊要的個人資料，也有可能被黑客利用，最終成為威脅個人隱私乃至公共安全的巨大風險，千萬不可低估數據庫泄露的嚴重性。

國際科技公司思科（CISCO）3月發佈的常年網絡安全準備指數調查發現，本地的私人機構僅有1%為抵禦網安風險做好充分準備；令人意外的是，81%的公司對防禦網絡攻擊的能力抱有中等至非常大的信心，説明許多企業低估了網絡攻擊的威脅。

打造安全可靠的數碼環境，不僅是技術問題，更是一種意識和責任。企業必須投入足夠資源來加強網絡安全措施，防範潛在的威脅。網絡攻擊就如恐怖攻擊，政府須要增強對網絡安全技術和人才的培訓，提高監管和執法力度，並推動全球範圍內的網絡安全合作，特別是監控跨境資金轉移，打擊網絡勒索活動。