馬州逾6成政府單位網路不安全 專家提議建立中心化管理

馬州網路安全協調委員會(Maryland Cybersecurity Coordinating Council)18日公布一項調查報告指出，馬州政府機構逾六成缺乏完善的網路安全計畫，既沒有規律執行網路安全的風險評估，也缺乏應對機制。

馬州衛生廳官網去年底遭網路攻擊，州長霍根(Larry Hogan)上周證實攻擊來自勒索軟體，但目前尚未查出對此負責的個人或團體，州府沒有支付勒索款項，該攻擊目前雖未出現數據被盜的跡象，但衛生廳官網曾一度被迫下架，部分服務也受到影響，直到現在都還沒有完全修復。

馬州信息安全首席官員司徒瓦特(Chip Stewart)表示，疫情爆發以來，越來越多醫療和公衛系統成為駭客的攻擊對象，但根據馬州網路安全協調委員會的報告，州府許多機構在信息安全方面存在明顯漏洞，包括無及時更新系統，安裝補丁(install patches)，也缺乏必要的應對機制。

該委員會近期調查了馬州89個州府機構的網路安全計畫，收到70個單位回應，值得注意的是，馬州選舉委員會(State Board of Elections)未回覆問卷，選舉安全的相關議題也因此再度引發討論。

數據顯示，馬州40%的政府單位有至少一個未頻繁使用也無專人管理的信息系統，且一半以上的機構沒有設定系統恢復的時限目標(recovery time)，意味著若遭網路攻擊，將無法預計系統在多長時間內能恢復正常。

網路安全協調委員會聯合主席海斯特(Katie Fry Hester)對此結果非常震驚，「相當於超過半數的州府機構若遭網路攻擊，毫無能力因應。」

該報告也指出，疫情推動的遠程辦公也導致網路風險升高，不法份子冒充馬州勞工廳，藉由失業補助項目等方式騙取民眾信息，甚至入侵商家和政府網站；2019年巴爾的摩市府被駭客勒索1800萬元，2021年巴爾的摩郡公校被勒索約770萬元，政府和執法單位被網路攻擊的案件近兩年持續增加。

該報告建議州府官員建立中心化(centralized)的網路安全管理模式，目前馬州各部門沒有集中的信息安全管理，即每個單位自行制定網路安全計畫、預算，並自行聘用IT團隊，報告指出，中心化管理可讓地方政府的網路安全獲得更全面保護，一旦遭攻擊可以在最快時間內靈活應對。

更多世界日報報導
史上最大規模 拜登政府下周起免費發放4億個N95口罩
時報廣場燭光守夜 悼落軌華女高慧民
Omicron光速傳染？加州1周暴增百萬病例