網絡犯罪將用AI升級攻擊 各界需加強保安準備好抵抗
【明報專訊】安省私隱專員克席姆(Patricia Kosseim)表示,最近針對市政當局、大學、教育局和醫院的網絡攻擊是令人擔憂的新趨勢。克席姆說:「網絡竊賊已經知道,這些大型機構存放着大量非常敏感的個人信息,其中包括個人醫療數據。他們知道,這些機構提供基本服務,它們的運作對社會的運作至關重要。他們就是靠這個發展壯大的。」
網絡安全公司Fortinet首席安全策略師兼威脅情報全球副總裁曼基(Derek Manky)指出,公司的最新研究表明,網絡犯罪分子基本上已經用盡了網絡釣魚和其他破壞組織安全的低級嘗試,並且對目標的攻擊變得更加激進。
Fortinet預測,2024年犯罪分子將使用人工智能來幫助完善他們的策略,從組織中招募內部人員來幫助突破防禦,並利用選舉和2024年巴黎奧運會等大型地緣政治事件。曼基說:「我們面對的是真正的網絡犯罪企業。」
今年還發生了針對醫療機構的攻擊。就醫院而言,勒索軟件攻擊所獲取的數據包括一個數據庫,其中包含一家醫院560萬名患者的就診信息和1000多名醫療僱員的社會保險號碼。受影響的患者數據「數量和敏感性各不相同」,黑客還在網上發佈了一些數據。
專門研究醫療保健行業的網絡安全專家根格(Anne Genge)說,這是黑客隨機攻擊和戰略規劃的結果。她說:「他們的業務愈來愈熟練,網絡犯罪分子知道醫療衛生系統缺乏足夠的培訓,沒有足夠的預算。醫療衛生機構也儲存着我們最敏感的個人信息。」
克席姆指出,由於醫療服務提供者被要求報告數據泄露,信息和私隱辦公室可以跟蹤攻擊的增加情況。安省私隱辦公室僅在今年前三個季度就記錄了62起網絡攻擊。與2022年相比大幅增加,去年總共報告了23起網絡攻擊。針對醫療機構的攻擊往往更多地涉及勒索軟件,考慮到醫療機構保護敏感數據的資金有限,這可能令人擔憂。她說:「勒索贖金的金額越來越高,隨着愈來愈多的組織屈服於這些威脅,支付的贖金也愈來愈高。」
跨國專業服務公司安永(Ernst and Young)的網絡主管Yogen Appalraju表示,如果公司和組織不採取行動應對日益嚴重的網絡攻擊,情況可能會變得更糟。重要的是公司要加強培訓、安全措施和投入網絡安全的資源,包括為攻擊做準備。