馬州逾6成政府單位網路不安全 專家提議建立中心化管理

·2 分鐘 (閱讀時間)

馬州網路安全協調委員會(Maryland Cybersecurity Coordinating Council)18日公布一項調查報告指出,馬州政府機構逾六成缺乏完善的網路安全計畫,既沒有規律執行網路安全的風險評估,也缺乏應對機制。

馬州衛生廳官網去年底遭網路攻擊,州長霍根(Larry Hogan)上周證實攻擊來自勒索軟體,但目前尚未查出對此負責的個人或團體,州府沒有支付勒索款項,該攻擊目前雖未出現數據被盜的跡象,但衛生廳官網曾一度被迫下架,部分服務也受到影響,直到現在都還沒有完全修復。

馬州信息安全首席官員司徒瓦特(Chip Stewart)表示,疫情爆發以來,越來越多醫療和公衛系統成為駭客的攻擊對象,但根據馬州網路安全協調委員會的報告,州府許多機構在信息安全方面存在明顯漏洞,包括無及時更新系統,安裝補丁(install patches),也缺乏必要的應對機制。

該委員會近期調查了馬州89個州府機構的網路安全計畫,收到70個單位回應,值得注意的是,馬州選舉委員會(State Board of Elections)未回覆問卷,選舉安全的相關議題也因此再度引發討論。

數據顯示,馬州40%的政府單位有至少一個未頻繁使用也無專人管理的信息系統,且一半以上的機構沒有設定系統恢復的時限目標(recovery time),意味著若遭網路攻擊,將無法預計系統在多長時間內能恢復正常。

網路安全協調委員會聯合主席海斯特(Katie Fry Hester)對此結果非常震驚,「相當於超過半數的州府機構若遭網路攻擊,毫無能力因應。」

該報告也指出,疫情推動的遠程辦公也導致網路風險升高,不法份子冒充馬州勞工廳,藉由失業補助項目等方式騙取民眾信息,甚至入侵商家和政府網站;2019年巴爾的摩市府被駭客勒索1800萬元,2021年巴爾的摩郡公校被勒索約770萬元,政府和執法單位被網路攻擊的案件近兩年持續增加。

該報告建議州府官員建立中心化(centralized)的網路安全管理模式,目前馬州各部門沒有集中的信息安全管理,即每個單位自行制定網路安全計畫、預算,並自行聘用IT團隊,報告指出,中心化管理可讓地方政府的網路安全獲得更全面保護,一旦遭攻擊可以在最快時間內靈活應對。

更多世界日報報導
史上最大規模 拜登政府下周起免費發放4億個N95口罩
時報廣場燭光守夜 悼落軌華女高慧民
Omicron光速傳染?加州1周暴增百萬病例