(1)澳洲聯邦政府宣布對中小企業的網絡安全支持
CSO在2023年 11月 19日報導,澳洲聯邦政府宣布了一個1820萬美元的投資,以協助中小企業改善網絡安全韌性並因應網絡攻擊。此協助是未來2023-2030年澳洲網絡安全策略(2023-2030 Australian Cyber Security Strategy)的一部份。
根據澳洲小企業與家族企業監察機關(Australian Small Business and Family Enterprise Ombudsman),澳洲有超過250萬家小企業,佔所有公司的97%,而中型企業佔比為2.5%、大企業僅佔0.2%。
為了讓公司可對其網絡安全成熟度進行免費、量身訂做的自評,他們會投入720萬美元建立自願性的網絡健康度確認計畫。根據網絡安全部長(Minister for Cyber Security)Clare O'Neil與小企業部長(Minister for Small Business)Julie Collins的聯合聲明,此健康度確認可用來判斷他們的網絡安全措施強度,並評估他們升級所需的教育工具與資料。
雖然沒有提供細節,但澳洲政府也說,風險暴露更高的中小企業,將能夠獲得「更詳細的第三方評估,以便對整個國家供應鏈提供額外的安全。」
另外還會投入1100萬美元到小企業網絡韌性服務(Small Business Cyber Resilience Service),目的是提供一對一的協助來幫小企業應對其網絡挑戰,包括引導他們從網絡攻擊中復原的步驟。
O'Neil在聲明中說,「提升我們小企業的網絡安全,對於一個具網絡安全和韌性的國家而言是不可或缺的,而且此專屬的支持對其準備與韌性將發揮巨大的作用。」
對中小企業網絡安全的憂慮
上週,澳洲信號局(Australian Signals Directorate)的澳洲網絡安全中心(Australian Cyber Security Centre)與美國網絡安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)宣布了一個逐步的企業持續計畫,以便在網絡事故發生後能維持關鍵應用程式的溝通與持續性。
這些說明更適合於:需要臨時資通訊方案以提供最基本的服務的中小型組織(人數在10至300人之間)。有基本電腦知識的專業人士就能執行溝通方案,不過應用程式方案則需要具備中級雲端服務知識的人。
澳洲的網絡安全策略
在三個重大網絡安全外洩事件發生後,引起了大多數澳洲人警覺到他們的資料與個人身份資訊會被盜取(有些甚至還在暗網公布),因此澳洲新聯邦政府急於處理澳洲多年來所面對到的網絡安全問題。
在2023年2月,澳洲政府公布了一份尋求公眾意見的討論文件,這份文件是用來協助任命專家諮詢委員會,以發展澳洲的新網絡安全策略。到4月15日結束諮詢期時,共收到超過200份回應。
九月中,O’Neil提出了該策略的第一份計畫,其中包含了六個網絡盾牌,目標是:教育國民及企業、投資網絡技能,並與國家與國際伙伴合作。
(2)ASIC將針對董事會及高階經理人的網路資訊安全失敗進行調查
Australian Financial Review在2023年 9月 18日報導了,澳洲公司監理機關將要懲戒一些在網路資訊安全上沒做好準備的董事及高階經理人,以警惕其他的公司。其作法是:對於未採取足夠措施,保護客戶和基礎設施免於駭客攻擊而受損的公司,採取法律行動。
澳洲證券投資委員會(Australian Securities and Investments Commission,ASIC)主席Joe Longo在9月18日於Australian Financial Review的網路資訊高峰會(Cyber Summit)上表示,企業必須對持續升高的網路資訊犯罪風險做好準備,並對那些太依賴第三方科技系統與服務供應商的公司提出警告。
ASIC先前只有起訴過一間網路資訊安全準備草率的公司,但Longo表示,ASIC正試圖找出那些便宜行事的違規公司。「我可以向你們保證,在合適的情況下,若我們有理由相信未採取這些措施的話,ASIC將會啟動訴訟程序。」
在高峰會上,內政部(Home Affairs)部長Clare O’Neil闡述她的期許,希望公司停止出售那些他們知道存在網路資訊安全漏洞的產品,而這也是構成政府網路資訊安全策略(Cybersecurity Strategy)平台基礎的六大面向之一。
Longo與O’Neil在大會上告知與會者,電信巨擘Optus及健康保險公司Medibank去年遭駭就是一記警鐘。O’Neil還指控Optus的「門戶洞開」,使駭客能夠盜取個資,而這就是ASIC現在要重點關注的內容。
Longo主張,所有董事會應該堅持經得起驗證的風險管理計畫。
O’Neil將公布六個「網路資訊安全盾牌」(cyber shields),並詳盡地說明她目前對網路資訊安全政策的抱負與期待。
除了推動企業停售有網路資訊安全漏洞的產品外,該策略還將關注於,確保個人與小公司在網路資訊安全基礎上,都得到良好的教育;並促進關鍵從業者之間的伙伴關係,包括政府、電信公司與銀行;以及強化重大基礎設施,比如水、能源及醫療照顧系統。
其他方面則包括,藉由培養澳洲公司與技能,以提升國家處理這個問題的自主能力;還有與世界上面對共同敵人的其他政府緊密合作。
O’Neil說:「這些盾牌將協助保護我們的企業、組織以及國民。這意味我們有團結、已規劃的國家應對措施。」關於每個盾牌的細節會在今年稍後對外公佈。
澳洲資訊專員辦公室(Office of the Australian Information Commissioner)在九月發佈的統計顯示:一月至六月間有409起數據洩漏事件,而澳洲統計局(Australian Bureau of Statistics)說,去年至少有五分之一的企業被駭客入侵。
Longo表示:「現實上不可能有固若金湯的系統。相對地,雖然準備必須包括安全性,但也必須涉及韌性,也就是回應及處理重大網路資訊安全事件的能力。」
澳洲審慎監理署(Australian Prudential Regulation Authority)在六月時對Medibank施予裁罰,要求該保險公司必須撥出2.5億美元,作為處理與數據外洩相關問題的備用金。
ASIC先前只在2022年時,對金融服務公司RI Advice提起訴訟,聯邦法院判處該公司要支付75萬美元。RI Advice在2014年與2020年間,遭受到多起的網路資訊攻擊事件,其中包括一起駭客在未被察覺的狀況下,在五個月內取得上千筆客戶資料的事件。
O’Neil曾暗示科技公司若其產品被駭的話,可能很快就會被追究責任。
她在國家安全學院(National Security College)的論壇上主張,軟體與設備的供應商,比如微軟、蘋果、谷歌與亞馬遜,都需要為其產品的數位安全負起責任,她說這需要「改變思維」。
O’Neil說:「我們不允許不安全的汽車座椅在國內出售。我們花了一個世代人的時間,試圖確保設計這些產品的人,保障能安全地使用該產品。」
Latitude Financial在三月時,發生重大損害的數據洩漏事件,起因於一家外部供應商—據了解是美國科技服務巨擘DXC Technology—他們以外包供應商身份營運管理其部分系統。Crown Resorts在三月也因為使用GoAnywhere軟體傳輸檔案時遭駭。
Longo說:「很多公司都依賴第三方的軟體及關鍵服務。這個依賴意味,要是第三方供應商被駭,就可能取得公司的機密數據和其他關鍵資源。這是一個嚴重的弱點。」
在二月時,那些負責經營涉及澳洲重大國家利益基礎設施的澳洲公司被告知:他們將必須提高網路資訊安全保護方面的投資,以遵循新的國家安全要求,此措施估計要花費這些公司總計近100億美元。
資料來源:https://www.afr.com/technology/asic-to-target-boards-execs-for-cyber-failures-20230913-p5e4bf
(3)ASIC加強對於網絡安全的關注
ASIC先前就網絡安全發布了具體的指引,指出董事會必須採取積極主動的措施,以預防、偵測、管理與回應惡意的網絡活動。有鑒於網絡攻擊對組織所產生的潛在財務、法律及名譽風險,監理機關認為,網絡韌性必須是所有組織的關鍵優先事項,其中還必須包括監督其整體供應鏈的網絡安全風險。
在這個背景下,ASIC在2023年11月13日發佈的《2023年網絡脈動調查》(cyber pulse survey 2023)讀起來更發人深省。ASIC警告,企業必須縮短其網絡安全防禦上「驚人的」落差。與此同時,澳大利亞信號情報局(Australian Signals Directorate,ASD) 於2023年11月14日發佈了《年度網絡威脅報告》(Annual Cyber Threat Report),顯示網絡犯罪在2022至2023年間成長了23%。
ASIC的調查結果需在其方法論的背景下來探討。這份自願的自評調查來自於697位參與者的回覆,其中有423位來自私人有限公司。僅有83位是來自於上市公司,因此整體結果並不一定能反映出澳洲大企業如何管理網絡風險的狀況。
儘管如此,一如ASIC的結論,調查結果暴露了,對於關鍵網絡能力的風險管理存在缺陷。ASIC指出,參與者網絡成熟度加權後的平均分數為1.66(評分範圍為0至4),這支持了他們的看法:組織在管理其網絡安全上是被動、而非主動。
更具體的說,ASIC在調查中報告了以下重要的統計結果:
*第三方風險與供應鏈管理—44%受訪者並沒有管理第三方或供應鏈風險,並特別指出,由於大多數澳洲公司將其資訊科技系統外包給第三方供應商,而這是常見的攻擊來源;
*保護機密資訊—58%的受訪者在充分保護機密資訊方面能力有限、或根本沒有能力,包括缺乏資料加密政策、資料留存政策以及資訊流比對的能力;
*網絡事件因應計畫—33%受訪者沒有網絡事件因應計畫,而且有因應計畫的受訪者裡很多並沒有進行測試;
*網絡安全標準—20%的受訪者尚未採行網絡安全標準。
ASIC的調查顯示,澳洲組織的網絡韌性存在著令人憂慮的不足,特別是假設受訪者具有某種程度的抽樣誤差,也就是說那些比較具備網絡素養的組織,會比其他組織更可能來參與本項調查。要是此假設成立,則可以合理的推論,澳洲組織的實際網絡韌性程度或許會低於其所報導的水平。
網絡韌性不只為了避免ASIC與澳洲資訊委員辦公室(OAIC)的監理行動,亦會降低網絡攻擊的風險、並強化組織受到攻擊之後的復原能力,以及持續營運的期待。這也可能會降低因網絡攻擊後所帶來的連鎖效應,包括集體訴訟行動和民事處罰訴訟。
組織應從執行內部資料的查核開始,以辨別需受保護的機密與業務關鍵數據、個人資訊,以及重要的系統。最近杜拜環球港務(DP World)的網絡攻擊事件突顯了,不僅保護資訊、還要保護關鍵系統的重要性,因為這些系統的失誤會引起巨大的營運中斷及損失,所以應該對這些資產作適當的安全控制。理想上,這些控制應符合公認的網絡安全標準,比如ISO 27001或NIST 的網絡安全框架。而為了管理第三方風險,組織應針對潛在的供應商的安全狀態,作合作簽約前的盡職調查,並持續監控其遵循狀況。最佳的做法是,要求供應商,提供獨立的查核報告(比如SOC 2報告),來展現他們持續遵守合約上的安全義務。
為降低網絡攻擊的潛在影響,組織應具備網絡事件的因應計畫,以辨識出重要或可能脆弱的系統與資訊資產,以及當網絡攻擊發生時要實施的程序,包括相關利害關係人的角色與責任。網絡事件因應計畫常見的失敗是,在網絡攻擊時,他們僅處理涉及IT與其管理人員的角色,而沒有涵蓋到攻擊事件中可能出現的更廣泛的問題,比如監理與法律義務和外部溝通等。這些計畫應定期測試,透過包括相關的重要利害關係人的桌面演習與模擬,並辨識出可能會阻礙因應攻擊事件的潛在落差或不足之處。
對於以前做過查核、或網絡事件因應計畫已過時的組織而言,應定期修正這些計畫。有鑒於威脅的持續變化,董事會對此需要持續關注。同樣的,網絡保險政策不會自動涵蓋所有的網絡風險,也不應該讓公司對網絡攻擊感到更自滿。
高階經理人與董事也需要瞭解與網絡攻擊相關的個人風險。特別是,ASIC視法務長是公司的「守門人」,並以他們的行為或決策常為事件發生的起點,即「墊腳石」(“stepping stone” liability),來追究他們的責任,以確保預防公司的不當行為。
就在一連串事件之後,ASIC接洽了許多的公司,以了解公司的網絡事件是否違反董事與主管的職責,而ASIC對於與網絡攻擊有關的主管採取執法行動,只是時間早晚的問題。
資料來源:https://www.corrs.com.au/insights/asics-focus-on-cybersecurity-intensifies
沒有留言:
張貼留言