2020 年,世界被 Covid19 攻陷,全世界每一個國家、每一個人都因不斷變種的病毒備感威脅;與此同時,另一個巨大的危機正迅速籠罩我們:資安危機。
Work From Home 資訊犯罪的最佳溫床
全世界企業被 Covid19 強迫接受 WFH,遠距工作的形式使企業不得不開放內網,讓大家得已在家透過遠端連線獲取公司內部資料庫,繼續推進工作進度。但其中不乏企業機密資料,因此當時也有特定部門不在 WFH 名單中,例如:擁有大批消費者資料與金錢的銀行,始終不敢冒資安風險。
但,不冒險,險就不會找上門來嗎?
2020 年底,美國聯邦政府、資安業者、相關企業遭遇有史以來最大的資安威脅。當時資安業者 FireEye 發現 SolarWinds 被駭,未料,這只是開始,接下來從政府機關到美國人民都成為受駭者,且勒索軟體悄悄在世界蔓延開來。
勒索軟體離台灣很近!這些品牌你都認識
| 時間點 | 遭勒索軟體攻擊的公司 |
| 2020年5月 | 中油,遭勒索軟體攻擊 |
| 2020年5月 | 台塑,遭勒索軟體攻擊 |
| 2020年7月 | Garmin,雖並未正面承認,但國內外媒體猜測被 WastedLocker攻擊 |
| 2020年11月 | 仁寶,否認遭攻擊,但國外報導應為 DoppelPaymer 攻擊 |
| 2020年11月 | 研華,否認遭攻擊,但 Conti 宣稱握有該公司機密資料 |
| 2020年11月 | 鴻海墨西哥 Roxconn CTBG 廠,被 DoppelPaymer 攻擊 |
| 2021年3月 | 宏碁,遭 REvil 攻擊 |
| 2021年4月 | 日月光投 AsteelFlash Group 遭 REvil 攻擊 |
| 2021年4月 | 廣達,遭 REvil 攻擊 |
| 2021年5月 | 威剛,資通系統遭病毒攻擊 |
| 2021年6月 | 翔名,資通系統遭病毒攻擊 |
| 2021年8月 | 技嘉,遭勒索軟體攻擊 |
| 2021年8月 | 關中,遭勒索軟體攻擊 |
| 2021年10月 | 帝寶工業,伺服器遭攻擊受影響 |
| 2021年10月 | 宏碁,印度分公司與台灣總公司分別遭受攻擊 |
| 2021年10月 | 中鴻鋼鐵,備份系統遭受攻擊 |
| 2021年10月 | 日勝生,資訊系統遭攻擊受影響 |
| 2021年11月 | 雙美生技,資訊系統遭攻擊受影響 |
| 2021年12月 | 東元電機,資訊系統遭攻擊受影響 |
| 2022年 | 公視,一次遭勒索軟體攻擊,一次片庫資料遭誤刪高達 41 萬餘筆 |
從美國政府,到台灣企業,皆被勒索軟體攻擊,並要求高額贖金。
這不只是企業的事,而是每一個消費者的事
如果你心存僥倖,認為「企業很有錢,難怪被勒索」,那你就錯了!資安事件不是國家的事,不是大企業的事,而是與我們每一個人密切相關的事。
你為了遠距工作裝了 Office365 軟體?
你擁有 Mac 電腦?
你裝了 Chrome 瀏覽器?
你用 Windows 為了讀 PDF 檔案下載了 Adobe Reader?
你平常也愛掛在 Twitter 上?
你買過虎航的機票?
你用 WordPress 架設過網站?
上述早已成為駭客的目標,稍有不察,就可能被駭、被勒索、被詐騙。如果以上都沒有,也別高興得太早,因為你絕對擁有「Email帳號」,會收到各式各樣挾帶惡意網址、惡意檔案的 Email。
另外,2022年開始,許多新聞標題彷彿套了公式般,都是這樣寫的:「快刪 13 款惡意 APP,不小心誤裝就要擔心了!」
無論 Covid19 疫苗是否真的有效,至少我們會覺得自己有所準備;但,面對資安病毒時,我們的疫苗在哪裡?
資安危機伺伏 「國際資安認證」是安心的來源
真實世界為了「網路世界的安全」制定一套叫做「資訊技術安全評估共同準則」的認證機制。
資訊技術安全評估共同準則,簡稱為共同準則 Common Criteria,通常寫作 CC,是目前國際最高認可的 IT 產品安全性認證,總共有 EAL1 到 EAL7 共 7 種評估保障等級,每一個等級對應一組預先定義好的檢核標準,面向涵蓋產品開發的全部過程。
認證層級,並非美食米其林指南,星星數越高就越厲害,而是看你適用哪個層級。果核數位子公司核智安全鴨子划水默默耕耘 2 年,終以 appGuard 這項滿注用心與專業的資安產品摘下了 CC 國際資安認證 EAL2。
「國際資安認證」耗費 2 年才取得
「共同準則」涵蓋產品的完整生命週期,包含:設計、開發、生產、測試、交付等各階段的安全評估,因此由果核數位子公司核智安全研發打造的 appGuard 從一開始就朝向「打造一個讓人安心的產品,保護每一個使用者」的目標前進。
訂定目標後,一邊制定專案研發,一邊尋找具有公信力且可信賴、長期合作的 CC 檢測實驗室,兩年後終於看到成果,所有跑這場耐力賽的專案人員們當下真心揚起笑容,「終於!」
希望在網路時代,盡一分心力,提供更多安心
「畢竟,不是每一個人都有工程師背景,要辨識 APP 是不是一個安全的 APP,實在太難了!」果核希望讓 APP 上架前就有防護措施,可以保護 APP 不被破解、反譯、外掛攻擊。
相信如果沒有工程師背景的讀者,應該覺得上圖的文字有看沒有懂。對於難向外人道的堅持,果核數位總經理以簡單的比喻,讓人一瞬間就瞭解了認證的重要與意義:
「如果把下載 APP 比喻成『買房子』,那麼『CC 國際資安認證』就像是交屋前的各種檢測,看看房子有沒有漏水,看看防盜設備能不能正常運作,看看房子的結構是不是足夠耐震。」
「這些藏在背後的努力,使用者平常是感受不到的,但不能等到危機出現才要做,所以即使沒有人懂,我們還是默默做。」
網路時代,不會退後,只會繼續前進
小時候看到許多科幻電影裡的「幻想」一一在網路時代中實現,真的很讓人興奮,但電影裡不會演出「副作用」,亦即「資安風險」。
我們無法迎接科技的便利,卻拒絕科技衍生的問題。希望每一個創造 APP 的工程師或企業,都能運用 appGuard 保護自己的 APP,也保護 APP 的使用者。
撰文/邱直嫻
編輯/鄭媛心