英國國防部長指出合作夥伴的「潛在疏失」,因疑似中國駭客侵入國防部的事件與承包商有關。
文/John Dunn‧譯/高忠義
英國國防部大臣 Grant Shapps 日前向英國國會表示,疑似是中國駭客侵入事件,造成英國國防部 27 萬官士兵薪資資料外洩,而這起事件歸咎於政府承包商的「潛在疏失」。這起事件在 5 月 7 日的新聞曝光,有政府消息來源向記者透露,中國政府對英國國防部(Ministry of Defence, MOD)進行了一次重大駭客攻擊。
[ 熱門精選:AI 對系統安全和 PQC 帶來的挑戰 ]
外洩的資料包括皇家海軍、陸軍、皇家空軍現役軍人、後備軍人,以及退役軍人的姓名及銀行帳戶詳細資料,此外,也有一小部分未經確認的地址資料外洩。但幾個小時之後,Shapps 向國會發表聲明,駭客入侵事件的重點不是中國,並將重點放在管理薪資系統的第三方公司。Shapps 表示,「這是由承包商維運的,而且證據顯示他們的潛在疏失可能讓惡意人士更容易駭入」。
並未確認入侵事件與國家政府有關
雖然 Shapps 並未明確地譴責包商,但已表示英國政府正審查該公司與其營運方式。「雖然我們發現有惡意人士涉入,但我們並沒有說那與任何國家有關。雖然我們不能排除那樣的可能性,但還沒有證據做出那樣的結論,」他如此表示。
這起事件牽涉到諸多糾結在一起的問題,首先是政治上的歸因問題。政府雖然顯然認為這次駭客侵入是中國做的,但為了避免陷入外交上互相謾罵的情況,卻又不願公開那麼說。
[ 熱門精選:AI 時代 網路安全角色的演變與招募重點 ]
這種態度已經惹惱了執政黨的議員,造成沸沸湯湯的局面,許多議員認為中國是英國安全的重要威脅,希望政府更明白地說出這點。
在三月時,中國被譴責對英國議員發動網路攻擊。不久之後,兩位國會助理依據政府秘密法(Official Secrets Act)被起訴指控是中國間諜。在政治圈,這起事件的主題已經明確界定:中國政府佈建了很長的觸腳,而英國政府與政治人物被中國監控。
另外,英國與多個盟邦近期也指控中國透過 Volt Typhoon 駭客組織鎖定多個國家的關鍵基礎設施。
未知的第三方疏失
最近這次事件有個較不尋常的面向就是資深部會首長這麼快的就將影響政府系統的危安事件聯結到第三方。Shapps 在國會只確認承包商涉及此案,但當時勞工黨影子內閣的國防部長人選 John Healey 則點名承包商公司名稱是 Shared Services Connected Ltd(SSCL),該公司承包了國防部的薪資系統契約,而且也承包了政府各單位許多的其他工作。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
然而,究竟是什麼樣的問題導致這起事件,以及有多少資料被取得,則尚不清楚。假設之後會更公開地調查這起事件,那可能也要好幾個月之後才會明朗了。更普遍提出的問題是政府如何確保運作政府功能的承包商之透明度。
「對此事件我不會意外,因為供應鏈的安全確實很困難!」
致力於提升安全意識的公司 KnowBe4 的 Martin J. Kraemer 如此表示「那與複雜性日益提升有高度關係。如果你是個顧問,進到一個龐大的組織,你必須做的第一件事情就是要到一份供應商完整清單。但組織裡的人會看著你,說他們不知道有這個東西。」
供應鏈裡固有的安全問題
這也就是為什麼供應鏈這個詞被巧妙地界定為:那是一長串供應商清單,那些供應商又為其他供應商服務,被服務的供應商又為另一批供應商服務,而另一批供應商又作為大型組織,例如政府的包商。
「在供應鏈中,可能有一部分的公司規模變得更小且投入更專業的分工,導致供應鏈更為複雜。這也就是為什麼歐盟的 NIS2 指令規定組織必須為他們供應鏈的安全負起責任,」Kraemer 如此表示。
[ 熱門精選:SEMI 攜手半導體供應鏈提升資安實力 ]
有些弱點很難消除,包括所謂的供應商電郵侵入,駭客會透過供應鏈夥伴之間受信任的電郵關係進行滲透。「可能有人接管了一家公司的電郵帳號,而很容易做這種事。那可能是造成最重大損失的攻擊方法。」
註:NIS2 是歐盟於 2022 年 12 月 27 日通過的《網路與資訊安全指令》(Directive on measures for a high common level of cybersecurity across the Union,簡稱 NIS2 Directive),是 2016 年通過的《網路與資訊安全指令》(NIS Directive)的更新版本。NIS2 的目標是提高歐盟關鍵基礎設施和數位服務供應商的網路安全性和彈性,以應對日益嚴峻的網路威脅。該指令要求相關企業和組織實施有效的風險管理。各歐盟成員國從 2024 年 10 月 18 日起皆須強制執行 NIS2 指令。
(本文授權非營利轉載,請註明出處:CIO Taiwan)