TTC接警告惟未做好防範措施 網絡遭攻擊泄2.5萬員工個資
【明報專訊】安省信息和隱私委員會(OIPC)一份調查報告顯示,多倫多公車局(TTC)網絡系統未做好防範措施,導致2021年2.5萬名員工的個人信息遭黑客攻擊而泄露。有網絡安全專家表示,所有公共服務機構應該建立2層防護網絡,把僱員層和公共服務層分隔開。
倡公共服務機構建立2層防護網絡
OIPC報告說,儘管委員會安全部門發出了內部警告,但TTC並未做好應對2021年晚些時候發生的網絡攻擊的準備,導致超過2.5萬名過去和現有僱員的個人信息泄露,包括僱員的姓名地址和社會安全號碼 (SIN),這次攻擊還摧毀了多個面向乘客的系統,包括TTC旅行計劃應用程式、TTC網站和Wheel-Trans服務線上預訂網站。
報告認為,TTC沒能及時更新它的安全軟件系統以及執行安全建議,使得這次網絡攻擊影響更加嚴重。OIPC調查員Jennifer Olijnyk說:「在調查過程中,我們發現很明顯TTC沒有適當的安全指導,並且在漏洞被利用情況下未能對安全軟件進行更新。早在2018年TTC安全部門就曾發出內部警告,TTC沒有足夠措施來防範可能發生網絡攻擊的風險。」
這份於2018年7月提交給OIPC審計和風險管理委員會的報告,建議TTC「重新訪問」當時使用的風險評估模型,因為它沒有考慮到關鍵風險,例如網絡攻擊,也無法闡明此類風險的影響,並鼓勵採用多倫多市府當時使用的標準化的風險評估流程,包括實施具體的對策和政策以降低違規風險等。
TTC發言人格林(Stuart Green)回應表示:「和其他大型公共服務機構一樣,網絡安全是TTC的首要任務,確保我們的網絡、營運和個人資料的安全性和完整性是公司的關鍵優先事項」。
OIPC報告建議TTC調整其網絡安全政策,以符合信息和隱私專員2019年發布的安全建議,這些建議包括對包含敏感信息的網絡系統進行分段管理、採用端點保護工具、啟用加密手段以及定期檢查網絡釣魚惡意行為。
另一公共交通服務機構安省都市聯通(Metrolinx)回應媒體提問表示:「已採取適當的保護措施以確保客戶信息安全」,並「不斷地」尋找加強其網絡安全的方法,比如對所有PRESTO和GO電子票交易採用了加密技術,其內部員工系統獨立於客戶系統。
巴拉多斯博士(Diogo Barrados)表示,僅僅擁有網絡安全模型是不夠的,應該與其他安全措施相結合,比如建立2層安全防護網絡,把僱員系統和公共服務系統分隔開,對具有敏感信息的網絡採用分段管理,「你可以訓練你的員工,但你不可能每周7天每天24小時在他們身邊,所以我認為要實現網絡安全,從高層到低層我們需要建立多層防禦系統。」
Alex Wu, Local Journalism Initiative Reporter
