网络风险管理「迫埋身」.PDF

【解牛集】 網絡風險管理「迫埋身」 許佳龍 科大資訊、商業統計及營運學系教授   繼 WannaCry之後，一隻名為 Petrwrap的病毒上周首先在歐洲發動攻擊，進行 勒索。一批報稱受勒索軟件攻擊的公司，包括總部設於倫敦的全球最大廣告公 司 WPP 、烏克蘭國有能源公司及基輔主要機場等飽受蹂躪。有防毒軟件專家指 出，今次勒索軟件所利用的程式漏洞，跟 WannaCry用的一樣，他形容 Petrwrap是 WannaCry變種。    當「欲哭之聲」稍告靜下來之際，Petrwrap又接踵而來。很明顯，電腦犯罪， 尤其勒索軟件肆虐所帶來的問題，網絡犯罪對我們生活的衝擊、對社會造成潛 在的破壞，大家有需要及早認識，並作出必要的防範。今日，互聯網應用愈來 愈廣泛，並與我們很多日常活動緊扣一起，故無論是機構或個人，面對的風險 也愈來愈高，因此，對於網絡的風險管理，防患於未然，是一個「貼身」的問 題。    利用加密技術犯案    可以預見，網上軟件勒索的犯罪行為將會愈來愈流行。繼 WannaCry後，如今 又有 Petrwrap ，用戶中招後，若交不出贖金，手機裡所有文件都會被刪除。    細心觀察，早期的網上勒索，黑客多利用「分散式阻斷服務攻擊」（distributed denial‐of‐service attack ‧ DDoS）犯案。針對的對象多為大機構或支援交易的公 司。因為只要令到攻擊對象的網站無法運作，就可成為勒索的籌碼，使這些企 業或網站就範。如今隨著互聯網技術的進步，今天犯案人會利用加密的方式進 行勒索，因為加密勒索可針對的對象更為廣泛。    WannaCry的作案手法其實很簡單，透過一些途徑，如電腦病毒，或用戶不小心 下載一些惡意程式──這程式其實就是加密程式，一進入電腦後，便把電腦上 所有檔案加密，使用戶無法開啟，被迫要付出贖金取得解碼。真是「傷心欲 淚」。    如何保護電腦安全，避免受襲，筆者與資訊科技界的朋友交流，他們都會提 議，謹記安裝防毒軟件、避免開啟可疑電郵附件及網頁連結、定時更新電腦系 統，以及作檔案備份。然而，這些防範措施，如更新電腦系統，一般人都會 做，筆者認為，此舉其實很被動，也不足夠。    檔案備份防「毒侵」不足夠    無可否認，錯手或不小心點擊了一些連結也相當普遍，尤其在網上瀏覽影片 時，「手快快」點擊，結果讓「有毒軟件」長驅直入。另一種普遍情況是，當我 們看到一些好像與自己相關的電郵時，禁不住開啟，一旦啟動了當中的附件， 便告馬上「中毒」。所以，即使定期更新電腦系統，「防毒」措施並不足夠。    在檔案備份方面，一般人以為備份了便有足夠安全，但看深一層，如今用戶往 往依賴在雲端系統進行備份。這又衍生出一個問題，這些勒索軟件運作的模 式，並非把用戶的電腦完全鎖死，只是把電腦上所有的檔案加密。當用戶電腦 上的檔案已被加密，則無論是同步或定時上載到雲端系統的原檔案，即會被 「更新版本」（已遭加密）的檔案所取代，結果也遭到加密，用戶也無法開啟。 若不付出贖金取得解碼，還是無法解決問題。    對於這種弊端，個別雲端系統供應商有一些應對建議。如 Dropbox 提供一個三 十日或更長的存檔備份服務，用戶可以在 Dropbox下載回三十日內之前上載的 原檔案。這無疑有助解決備份一些不足的缺點，但畢竟並非人人都採用這種相 對高昂的付費服務。退一步說，即使肯付款買一個「網絡保險」，黑客日後也有 可能會採取一些攻擊策略，令已遭入侵的客戶不能輕易取回原來的備受檔案  (例如在一段長時間內逐步地加密個別的電腦檔案)。所謂「道高一尺，魔高一 丈」。    生活「數碼化」的網絡風險    其中一個最好的方法，包括資訊業界的朋友都有建議，就是進行離線備份，並 把這些檔案與互聯網「絶緣」，有需要時才用來應急。雖然，離線備份對一般個 人用戶或可以做到，但企業或大機構用戶便會有困難，因為其電腦運作系統會 相對複雜，要求它們長期保留一套離線備份，而又需要時常定期更新，委實有 困難，而且成本也不菲。    回到現實，面對資訊科技日新月異，互聯網的發展一日千里， 今日，我們每個 人的生活和行為活動，都離不開網絡，需要電腦的支援。事實上，