印尼國家資料中心6月底遭駭客入侵,包括機場移民通關系統、指紋辨識系統均癱瘓,駭客要求800萬美元贖金,印尼政府拒絕支付,後來案情急轉彎,駭客集團竟主動提供密鑰,並向大眾道歉。這次事件引發各界譴責聲浪,也顯示印尼政府外行領導內行引發的弊端。
印尼國家資料中心遭駭客集團入侵,6月20日起陸續發生災情,由於98%的資料庫沒有備份,近300個中央與地方機構電腦系統癱瘓,機場通關系統大排長龍,為近年最嚴重的資安事件。後來駭客集團神秘地主動提供密鑰,允許取回先前被加密的資料,但估計要6個月才能復原所有資料。
印尼資安事件層出不窮 重創外資投資信心
最近3年印尼資安事件層出不窮,2021年駭客集團入侵健康部,盜走130萬件民眾個資與健康醫療資訊,2022年印尼中央銀行遭勒索軟體攻擊,2023年印尼國營銀行遭駭,包括客戶、銀行員工個資、金融資料、信用卡資料與密碼等遭盜取。
從印尼多起資安事件來看,駭客集團看準了印尼各機關資安防護漏洞百出,年年發動攻擊,規模一次比一次大,終於引爆這次國家資料中心遭駭事件,連印尼國家軍事策略情報局資料庫也遭駭,某些敏感個資可能外洩,不僅重創印尼政府信譽,也衝擊外資投資印尼的信心。
印尼資安首長政治任命 非專業掛帥出包
根據ABCNews,針對印尼政府未做好資料備份,印尼國會議員批評,這次國家資料中心遭駭,突顯政府的資安防護非常脆弱與愚蠢。印尼資安專家Alfons Tanujaya表示,印尼的資安系統如此脆弱,原因在於負責資安的首長經常是政治任命,而非資安專業人才。也因此,許多平時該做最起碼的資安防護,沒有到位,全都亂了套,於是成為駭客集團攻擊的標的。
因應網路攻擊無孔不入,美國自2016年起設立聯邦資安長(CISO),負責研擬資安政策、規劃與執行,歷任聯邦資安長都是資安專業人士。美國首任聯邦資安長Gregory Touhill,由當時歐巴馬總統任命,此人曾為卡內基美隆大學軟體工程研究所CERT部門主任,擁有多項網路安全專業認證,並在卡內基美隆大學教授網路風險管理。
網路戰爭開打 台灣為何沒有專業資安長?
美國麻省理工學院資安大師迪瓦達斯(Srini Devadas)強調,「網路戰爭(cyber war)已經開打了,在網路戰爭中,必須要有能夠應戰的資安長(CISO),此人有如資安沙皇,資安長的功能與數位部長不同。舉例來說,在實體戰爭中,除了有國防部長之外,戰場中還有不同的將軍。因此,一個國家的資安長很重要。」他同時質疑,台灣有專業資安長嗎?