5G商轉、物聯網建設,面對科技的快速演化,許多中小企業也加緊腳步進行數位轉型。然而,趨勢科技全球核心技術部的資深協理張裕敏卻提醒,中小企業若資安意識不足,很可能讓自己淪為駭客攻擊的潛在目標。
張裕敏過去曾針對網路攻擊做過許多精準的分析與預測,他在去年三月舉辦的台灣資安大會上預測,工業物聯網以及瓦斯公司可能成為下一波攻擊的對象,隨即有四間美國瓦斯管線公司因駭客入侵而導致連線與通訊中斷。張裕敏表示,他並非有私人線報,而是駭客攻擊有其週期性。透過大量追蹤駭客的數位軌跡,資安分析師便可推測駭客的攻擊途徑。
大眾資安意識薄弱,基礎設備成攻擊目標
今年,張裕敏則呼籲大眾要更加提防駭客針對關鍵基礎建設進行的攻擊。這些基礎建設不只包含水利、能源等大型設備,而是更加貼近人們生活的基本設施。張裕敏列舉了三種,包括網路基礎設施(如路由器、公共Wifi等)、金流基礎設施(如一般公司的後台金流系統及實體的ATM)以及資訊媒體基礎設施(包含一切傳達資訊的平台,如電視及社群媒體),這些貫穿人們日常的設施,其實蘊含很多隱性的威脅是大眾所沒有意識到的。
其實要當一個駭客是相當容易的。以張裕敏的話形容:「要工具有工具、要方法有方法、要目標有目標。」在程式原始碼公開網站Github上,就有免費提供的監聽模組等入侵用工具的程式碼。此外,在被稱為「世上最危險搜尋器」的Shodan網站上,駭客不僅可以輕易找到與互聯網連結的設備如公共Wifi、交通號誌系統或銀行監控系統的IP位址,另一個名叫ICS Radar的網站甚至還為駭客們整理哪些網站有安全漏洞。
在成為駭客的門檻不斷降低的同時,大眾的資安意識卻進展得相當緩慢。尤其在許多中小企業因應時代趨勢進行數位轉型的當下,卻沒有思考到駭客攻擊的危險性。趨勢科技行銷協理陳亭妏舉例說,在2017年時勒索軟體的攻擊相當盛行,到了2018年卻有明顯下降的趨勢,他們認為,攻擊數下降很可能是因為攻擊對象從個人轉向到公司,綁架公司藉以營運的ERP系統或其他對外網路伺服器,有些公司不願張揚,便私下付贖金了事而不回報。
「駭客怎麼樣都可能打進來」,數位轉型不能漏掉防備戒心
張裕敏強調,資安意識薄弱是很危險的事。許多人以為藍牙距離短就放下戒心,但現在市面上可以用很便宜的價格買到指向天線,把藍牙連到好幾公里外的距離。另外,未來的5G發展也會是另一個可能的資安破口,因為5G連線不用透過路由器,許多企業就會因而失去網路邊界,直接進入所有人共享的網路頻段,使攻擊變得更多元、更難防備。
張裕敏表示,許多中小企業沒有資金和人才做資安防護,他希望更多資安公司可以一同合作,提供數位轉型和物聯網建設的相關輔導,並呼籲政府建立平台,協助更多中小企業維護資訊安全。而針對較有資源的大企業,張裕敏則希望他們以「駭客怎麼樣都可能打進來」的思維,模擬駭客的做法,才可能做到滴水不漏的防護。
