供應鏈攻擊
」行政院追加13億預算打詐 民眾黨立委批僅有空泛口號
民眾黨立法委員陳琬惠、張其祿、立院黨團副主任兼發言人楊寶楨今(9)日開記者會指出,近日「不動產借貸媒合平台im.B」涉嫌吸金詐騙25億元,逾千人受害,行政院追加13億預算推出「新世代打詐行動綱領1.5版」,但至今僅提出空泛口號,呼籲政府拿出實際作為防詐,加強監管網路借貸平台,根除詐騙集團並引導民眾識別詐騙,避免國人蒙受財產損失。陳琬惠指出,行政院追加13億預算升級打詐綱領,但歷時一個月,僅提出「1合2清3減4面5不」的華麗口號,所謂1合是跨部會合作,2清是清理上下游,如此膚淺的內容居然拿出來搪塞民眾。上周更被踢爆,所謂1.5版本根本還沒有實際計畫,追蹤行政院、內政部、刑事局等部會,目前還卡在刑事局「內部簽辦中」,行政院以口號譁眾取寵,對根除詐騙毫無幫助。陳琬惠直言,據法務部的《詐欺罪案件統計分析》,近51萬詐騙犯中,起訴率竟只有2成,其中起訴率最高的是「車手」高達6成,然而車手在詐騙集團的「產業鏈」中屬於最末流,甚至拐騙年輕人當成「棄子」。2017年,法務部針對《組織犯罪防制條例》大幅修改,隔年起訴人數大幅增加2,677人,其中近9成是電信詐欺,被民進黨政府大內宣成「政績」宣揚,但政府不應該忽視潛藏在背後的組織犯罪,長期以來只注重詐欺本身,只抓車手等下游,完全治標不治本。張其祿表示,先前時任行政院長賴清德推動數位身分證,最終因資安爭議暫停作業,總計逾10億元費用,恐由全體國民的納稅錢負擔。民眾黨團當時在執政黨針對「數位身分證」政策之討論上,即要求「專法管理」,但台灣做為標榜「科技立國」的科技島,卻因國會多數黨在立法上怠惰、行政上延宕造成使政策推不動,執政當局要負起最大責任。同時,因數位身分證系統存在著設計和實現上的缺陷,以及來自供應鏈攻擊和讀卡裝置安全性方面的風險,數位治理能力仍需要政府持續補強。張其祿直言,近期「借貸媒合平台im.B」詐騙事件,因是透過數位平台直接媒合借貸者和投資者,無需透過金融中介,借款人可以籌集資金,投資者也從中獲得利息,但唐鳳部長竟說「我們零監管」,甩鍋監管責任,黃天牧主委也跳針式撇清,讓人感到非常失望,呼籲金管會加強對P2P業務的監管與稽核,增加透明度和公開度,設立嚴謹的風險管理和披露機制,同時也須強化聯繫第三方支付機構,加強支付監管。楊寶楨指出,詐騙集團經常與時事連結,時值5月報稅季,民眾連報稅時都要慎防遇到詐騙。楊寶楨說,上月數發部長唐鳳曾於立法院公開承諾,一周內將現存的假冒名人詐騙廣告從網路下架,但數發部僅下架特定時段內之廣告,目前Google受檢舉廣告已下架33%,Meta已下架83%,仍有進步空間。行政院4月中拍板網路投資廣告採實名制,但此制度只會讓詐騙集團有漏洞可鑽,透過人頭刊登犯案,讓更多弱勢族群,甚至不諳世事的青年誤入歧途,政府應積極與網路平台業者協商可行的辦法,增加下架效率。
2022資安預測:駭客四重勒索擴大供應鏈攻擊、個資外洩風險攀升
趨勢科技2022年資安年度預測報告,提出三大重點觀察,包含:駭客藉四重勒索擴大獲利、供應鏈成為駭客攻擊的新場域、個資外洩助長詐騙風潮;在全球數位轉型風潮及網路服務型態持續演變牽動之下,資訊安全防護挑戰將日益險峻。趨勢科技臺灣區暨香港區總經理洪偉淦表示:「全球商業環境受各區域經濟版圖競爭持續轉變,駭客的思考模式也如同商人做生意一般,不斷地開拓攻擊版圖以尋找新的獲利機會,台灣位處於全球產業供應鏈的重要中樞,不論是企業或是上下游供應廠商,妥善的資安風險管理政策更將是明年企業經營佈局規劃的重中之重。」趨勢科技指出,以高科技業來說,勒索病毒一直是一項持續性的惡意威脅,勒索病毒攻擊手法已逐漸演化為目標式勒索攻擊。根據趨勢科技統計,台灣企業遭受目標式勒索攻擊的佔比從去年35%成長到今年42%,其中以高科技製造業就是最大宗。趨勢科技預測,「駭客將發展出四重勒索」的攻擊模式,除了透過將企業檔案加密、外洩敏感資料及發動DDos攻擊以中斷企業營運的手段之外,未來還有第四重「供應鏈攻擊」,將使得企業受害層面擴大至供應鏈上下游,駭客將利用供應鏈信任圈發動攻擊,讓企業在面臨勒索事件發生時的處理更艱困。趨勢科技數據統計,2021年台灣偵測到的電子郵件外洩的比例相較2020年上升11%,顯示在疫情的影響之下,個資儼然成為駭客攻擊的目標之一,趨勢分析,疫情造就各式線上活動及網路服務愈趨活躍,民眾對於網路服務的依賴程度也日漸加深,當大量個人敏感資料在網路世界流動,個資外洩的風險也隨著升溫。
SEMI發布半導體晶圓設備資安標準 台積電、日月光、應材等大咖響應
國際半導體產業協會(SEMI)於國際半導體展(EMICON Taiwan 2021)期間,正式發布SEMI第一個半導體晶圓設備資安標準(SEMI E187 - Specification for Cybersecurity of Fab Equipment),包括台積電(2330)、日月光(3711)、鴻海(2317)、台灣應材、微軟等國內外半導體、電子及軟體等大咖都宣誓加入。SEMI全球行銷長暨台灣區總裁曹世綸指出:「隨著供應鏈攻擊的威脅日益嚴峻,有效提升供應商與產業供應鏈的整體資訊安全是刻不容緩的課題,其中在網路安全意識的推動,更是一項重大挑戰。今年SEMI正式成立資安委員會,致力於持續暢通跨界交流與溝通橋梁,也透過制定與半導體設備有關的資安標準框架,加速高科技製造業進行安全智慧化、數位化的腳步。」SEMI資安委員會主席暨台積電企業資訊安全處長屠震表示:「隨著SEMI晶圓設備資安標準的正式建立,全球供應商對於設備的資安防護設計也能有所依循;企業在設備採購合約上,也能以此標準作為資安要求。長期來看,不僅能確保晶圓廠的機台設備安全,更能帶動上游產業對設備安全品質的重視。」歷經將近三年的制定,SEMI資訊與控制標準技術主席暨台積電部經理游志源博士表示:「資安標準的籌備及撰寫過程嚴謹艱辛,字字句句都需要多方斟酌,同時也讓SEMI全球的標準技術專家審核過程,花了很多的功夫始能將標準文件落實。這是台灣半導體產業共同努力完成的第一條資安標準,相當具有代表性。」SEMI資安委員會成員包含台積電、日月光、台灣應材、鴻海、微軟等國內外大廠,除聚焦在資安標準的推廣,預期將進一步提升產業資安意識、對供應鏈網路安全及資安風險評估,提出有效的評估框架。
全面防堵勒索軟體 美國網安局與科技巨頭組防禦組織
自2020年開始美國本土許多企業頻頻遭駭客組織以勒索軟體入侵,美國認為這些駭客組織背後可能有國家資助,目的就是為了打擊美國企業,因此網路安全局(CISA)協調各安全部門與Google、Microsoft、Amazon等科技巨頭合作,成立網路防禦協作組織,希望能讓勒索軟體徹底消失。從2020年底的SolarWinds供應鏈攻擊事件開始,美國從中央到地方州郡的網站就不斷遭到攻擊,因此自當時開始,公部門與民營網路公司就開始合作,而在2021年初時,微軟郵件伺服器疑似遭到由國家所資助的駭客組織攻擊,當時許多企業都遭受重創。因此美國總統拜登在7月下旬簽署了國家安全備忘錄,希望公部門、基礎網路設施以及網路營運商能加強橫向合作,以加強關鍵基礎設施的安全性;其中甚至提到這樣嚴重的安全漏洞可能會與另個大國展開真正的戰爭。因此美國國土安全部(DHS)旗下的網路安全暨基礎安全局(CISA)與國防部、國安局、司法部、聯邦調查局等情報單位以及Google、Microsoft、Amazon、AT&T、Crowdstrike、FireEye Mandiant、Lumen、Palo Alto Networks 和 Verizon等網路營運商組成聯合網路防禦協作組織(JCDC)。此組織的功能在於,在駭客、勒索軟體尚未攻擊前能先得知相關情資,或者在遭受攻擊能共同防禦其攻擊力道,同時也會針對網路攻擊進行全方面的演習。