上周,新保集团惊爆150万病患个人资料被骇外泄,是我国历来遭受最严重的网络攻击行动。引起民众担忧网络隐私存漏洞。
调查显示此次骇客攻击经过精密策划,不像业余犯罪分子,全球只有为数不多国家的先进技术才能做到。网络安全局长许智贤说却表示,泄露的都是“基本统计数据”,无需过于担忧。
据一些过往案例,网安局称将监视网路上或一些不知名网站是否出现可疑迹象,追踪骇客。“根据我们的专业经验这些被盗取的数据没有很高经济价值,较不可能会被泄露上网。”
不过,新加坡金融管理局在昨日(24日)发表文告,慎重要求所有金融机构在采取更严格的用户身份验证程序。当局指出,所有银行已受指示,要求用户登录账号,需进行双重验证(PIN和一次性密码)。
金管局要求金融机构避免依赖基本信息(姓名、身份证号、地址、性别、种族和出生日)来验证用户,提防不法分子可能以这些资讯假冒客户。
金融机构受促实行更进一步的验证程序,如一次性密码,PIN 码、指纹认证和最后转账户口和日期等。
金管局也要求所有金融机构立即进行风险评估,在他们提供的服务中是否有发生如新保集团被骇的可能,避免更多用户个资被盗取,用在不法用途。
金管局网络安全官陈耀胜指出,该局将于各金融机构紧密配合,提供牢固的网络防御,让用户放心进行网络转账。同时,他也呼吁民众保管个人密码,定时清理上网记录等,若发现可疑活动,应立即通知银行。
“民众可浏览网站gosafeonline和SingCert,学习更多网络安全知识。”
虽然网安局长许智贤表达“无需担忧”,但如今已牵动金管局发声明,要求所有金融机构采更严格验证程序,说明个资外泄可大可小,不排除不法分子假冒身份套取更多利益的可能性。只要涉及财富,就有可能孕育网络罪案。
全球网安第一破功
在去年7月,联合国国际电信联盟(ITU)调查结果显示,我国网络安全策略近乎完美,在全球网安指数排名第一,美国和马来西亚分别具亚、季军。
调查根据该国法律、技术与组织机构、教育与研究能力,以及在信息分享网络的配合,作出比较。
虽则全球范围政府机构被骇时有发生,但此次连我国也未能幸免于难,负责网络安全事务的通讯及新闻部长易华仁认为,政府不间断提升网安防御能力,但与此同时,骇客也在发展新技术,不断在试探防线,这是一直持续的战争。
他重申这次是精心谋划的攻击,也庆幸旗下单位能尽早侦测,避免了最糟的情况。
根据该部发表的文告,由前法官马格纳斯为首组成私人调查委员会,深入调查新保集团个资外泄案,包括探究促使骇客得逞盗取个资的原因,以及综合保健信息系统(IHiS)和新报集团当下采取的对应方案。
公共部门,包括其他拥有庞大用户数据的公共医疗机构,该调查委会也会根据调查结果,提出降低这些机构庞大数据库遭网络攻击的风险。
调查委会可酌情召开公众听证会,以及考量来自总检察长或相关机构提供的意见。调查委会必须在今年12月31日前提呈报告。
