2024 Cyber Initiative Tokyo 會後報導
日本經濟新聞(Nikkei)2024 年 11 月舉辦 Cyber Initiative Tokyo 研討會,邀請美、歐、日等產官學研專家,針對日本關鍵性資安議題進行專題演講與座談。本文作者線上參與兩天盛會,並將會議重點進行摘要,以及對於我們的啟示。
文/吳明璋(Bright)
國內 2024 年中上市櫃公司在發布資安重訊的「重大性標準」有重大的政策變更。不論資安事件大小,上市櫃公司充分揭露資安事件,以保障投資人知的權利。根據 Aon 全球最新的統計,網路勒索事件損失自2019 年起不斷攀升,如今損失比起 5 年前高達將近 14 倍。跟我們文化與產業相近的日本,如何因應這個頭痛的網路勒索事件?這個研討會透過日本經濟新聞記者與專家的觀點,提供我們從事件、媒體角度覺察與省思的空間。
醫院事件的省思
神戶大學名譽教授森井˙昌克(Masakatu Morii)分享 2021 年 11 月發生在德島市 (Tokushima)本田醫院(Honda Hospital)網路勒索事件,這類地區性新聞並未在台灣的媒體曝光。
本田醫院由當地政府經營,院內建置 200 台電腦左右。10 月 31 日半夜,勒索集團 LockBit 將勒索信發送到醫院印表機,內容顯示「您的資訊已經被勒索軟體感染」。隨後,他們聯繫 IT 系統專家,發現所有系統已經停擺,包括電子病歷與放射影像等。隔天早上,他們聯繫警方,在調查後才確認這是勒索集團攻擊。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
起初,醫院並沒有意識到這是勒索攻擊,以為只是系統出現某種漏洞或惡意軟體。因此,昌克教授發現醫院初步的處理並不恰當。在隔天的記者會上,醫院從未預料到有人會攻擊他們,仍然疑惑他們為什麼會遭受攻擊,。醫院一直相信他們的環境是安全的,因為內部系統與網際網路並不相連。
儘管醫院懷疑 2019 年購買的 VPN 設備,但一直無法找到證據。大約在兩個月之後,醫院才找到被駭客入侵的證據,來自於外洩的密碼和憑證資訊。昌克教授提到醫院在兩個月才完成復原,在於醫院網路的建設與營運牽涉到太多不同的廠商,以及對於駭客攻擊的無知與缺乏相關經驗與技能。
媒體的省思
在回顧 2024 日本角川集團(KADOKAWA)、Crowdstrike 與宇宙航空研究開發機構(JAXA)等三大資安事件,日本經濟新聞 Nikkei x TECH 資深撰述勝村˙幸博與研究員菊池˙隆裕,把焦點放在媒體報導的角色與責任。
以角川集團事件為例,幸博強調媒體的責任:「媒體報導網路攻擊事件的發生固然重要,但也應該考量如何正確地報導事件、以及如何透過這些報導來指導應對措施。」
[ 推薦文章:資安治理 企業防護的核心基礎 ]
幸博還發現,「攻擊者還經常濫用媒體報導。他們可能會宣稱『我們已經從某家公司獲得了這些資訊』,並發布類似新聞稿的內容」,這就是「假洩密威脅」。如果在未經求證後報導,「這不僅會加劇公司面臨的壓力,還可能損害其聲譽」。另外,幸博也強調如果跟駭客的談判仍在進行中,也應避免披露相關資訊。
身為記者,觀察報導發生的重大新聞是不可或缺的。幸博面臨到報導的兩難:「在沒有實質證據支持的情況下,媒體可能會搶先報導該公司遭遇攻擊的資訊」。此外,「報導的方式和資訊公開的時間點非常關鍵」,因為這些都可能對受駭公司造成極大的壓力,包括支付贖金。因此,媒體是否應該報導勒索新聞,「這始終是需要慎重考量的問題」。
勒索的因應
網路勒索為本研討會的關鍵性議題。儘管產業特性與文化有別,不變的是業者的覺察。,幸博強調媒體報導常見的盲點:「雖然媒體和報紙標題經常聚焦於大企業,但實際上中小企業也可能成為攻擊目標」。他引用日本警察廳的數據,60% 的勒索軟體受害者是中小企業。
[ 推薦文章:從危機中學習,2024 年重大外洩事件警示錄 ]
網路勒索事件沒有特效藥。在事前準備上,從高階主管與幕僚著手,在資安應變團隊上不同層次的因應措施。在高階主管的議題,幸博的看法是:「儘管基本原則是不支付贖金,但如果被迫支付,就必須在非常細緻的情況下做出判斷。管理層需要提前準備好相應的政策,以便在必要時快速決策。」
我們的啟示
如何提升董監事與高階主管的覺察,便是我長期在董監事資安治理授課最大的挑戰。2024,我們和元智大學團隊在《哈佛商業評論》全球繁體中文版發表第一個國內資安個案。在沒有資安長與緊急應變團隊的情境下,董監事與高階主管在面對支付贖金的兩難。這不僅是否付錢的問題,而是背後牽涉到備份完整性、客戶交期、企業商譽、勒索增加或鼓勵犯罪等錯綜複雜的決策議題。希望透過個案,累積經營管理階層在面對駭客攻擊的應對經驗。
在因應措施上,昌克教授強調本田醫院案例就像是中小企業面臨的勒索挑戰,帶給我們的省思是視覺化、零信任與風險管理的重要性。他將駭客攻擊比喻同等於地震海嘯,負責人須假設駭客攻擊造成電力中斷、IT 設備失靈與網路中斷等最糟糕的情境。
在幕僚層級的因應上,駭客攻擊往往造成 IT 設備失效,也會跳過正常流程 SOP,團隊成為應變與復原的關鍵性資產。資安部門著重技術面緊急應變,總經理室、財務、法務、公關或事業單位也要建立經營面應變團隊,才能有助於高階應變的決策。為了協助客戶跨出 IT、資安的角度,我以敏捷式資安應變(Agile Incident Response)作為倡議,有幸獲得 2024 全球頂尖敏捷 CEO 獎項,以促進經營面資安應變的團隊合作(Team-building)。
吳明璋(Bright),曾獲2024全球頂尖敏捷CEO大獎、2023 ISC2 Global Achievement Awards(APAC)。目前擔任 SEMI Taiwan 資安委員會委員、中華公司治理協會、金融研訓院資安治理課程講師,2024《鋼索上的管理課》增訂版榮獲美、法與國內十位敏捷、資安、工安專家推薦。目前經營敏捷韌性學ABC社群,長期推廣敏捷與韌性教育。(本文授權非營利轉載,請註明出處:CIO Taiwan)
