【大紀元2012年09月21日訊】(大紀元記者程木蘭綜合報導)去年美國聯邦航空管理局(Federal Aviation Administration, FAA)、美國國防部、以及ATM銀行系統同時遭到有組織的攻擊,嫌犯至今仍逍遙法外。這週,一位受挫的議會領袖因國會未能通過網絡安全法案,以至自行發信至每一家《財富》500大企業的首席執行長(CEO),要求他們描述對自己企業計算機安全的處理。企業負責人在法律上沒有義務回覆該信件,但這顯示了部分議員對企業加強網絡安全相關措施感到擔憂。
美國參議院商務委員會民主黨籍主席洛克菲勒(Jay Rockefeller)「我們所面臨的網絡威脅是真實的、即時的,但國會今年沒能通過立法,使國家至於日益受到災難性網絡攻擊的威脅中。
參議院共和黨上個月阻撓了白宮支持的法案,這法案擬為如電網、華爾街等運行重要基礎系統的企業建立自願性的計算機安全標準。共和黨人說,該法案將置政府與企業處於對抗狀態。
洛克菲勒的調查是促使企業採取更多的措施來保護他們的計算機網絡,防禦來自外部篡改、盜竊和間諜行為。參議員洛克菲勒去年說服了美國證券交易委員會SEC指定投資者報告書中得包括網絡漏洞以及破壞性事件等風險。
在發出的信函中,企業CEO可看到8個問題,詢問該企業是否以及如何做出網絡安全保護措施,以及徵詢聯邦政府應該在協助企業保護計算機網絡中扮演的角色意見。
參議員洛克菲勒這回調查涵蓋面相當廣泛,《財富》500大包括運行各種行業,如電力、銀行、零售及製造,其CEO被要求在10月19日前提供信息。過去,他曾徵詢較小範圍企業信息,總能得到回覆。
委員會發言人莫里斯(Vincent Morris)說,這項努力也是敦促CEO們更加注重企業的網絡安全威脅。
洛克菲勒認為,這項立法失敗主要是由於從商業遊說團體的反對,他現在希望聽到公司負責人的說法。
商會(Chamber of Commerce)曾公開反對白宮支持的措施。商會管理層抱怨這是依「政府主導管理的程序」建立網絡安全標準,將會強加義務予參與的公司。
國家關鍵基礎建設的計算機時時面臨惡意攻擊
美國,或許不如人們想像的那麼安全。從電力網絡、銀行系統,到製造精密國防武器的製造商,這些單位用來執行國家關鍵基礎建設的計算機,都面臨來自不法之徒以及國家的惡意攻擊。對於這些事件,有時人們或有耳聞;有時無從知曉。
強化國防、電力、財經服務、以及電信等關鍵基礎建設,需投注鉅額資金,或許還要多年的努力以及龐大的政治影響力。奧巴馬曾表明他要達成此目標。.
據美國《CIO雜誌》報導,部分的問題在於:政府與業界並沒有彼此分享足夠的信息。「政府需要了解:私人企業目前的安全處境有多糟,以及影響層面有多大;私人企業則需要知道來自外界的真實威脅有哪些。」
政府與企業仍在磨合
處理這類安全的問題,是件既昂貴又極度不討好的工作。鮮少有人會因為事先預防了犯罪以及入侵而獲得掌聲。部分企業信息執行長(CIO)因政府太過投入於規範技術的標準及選擇而神經緊繃。但由於計算機安全威脅與日俱增,庫爾茲表示,現在要求企業以及政府有所轉變的聲浪已相應提高。
庫爾茲是前任總統柯林頓以及布希的國土安全資深顧問。而所經營的Good Harbor公司的主要業務是安全與防範恐怖主義。
「只要有任何一個月,政府是在沒有真正領導,以及沒有任何決定性行動的狀況之下度過,我們就等同失去了價值上億美元的智慧資產。」庫爾茲說:「那些維運電力、能源、石油、航空、軍事運作的重要系統─目前均處於危險的狀況。」
問題出在哪裡?
去年11月,發生了FBI所謂「協同式攻擊」事件,它專門針對大型城市的ATM機器下手。一個「犯罪組織」使用了100個假冒的雇員名冊以及禮物卡,在30分鐘之內就偷走了900萬美金。FBI為此發佈訊息,請求民眾協助辨認在亞特蘭大監視器所錄下的男子影像。
美國的財經系統亦不遑多讓,是業餘或職業駭客所覬覦的目標。讓人擔心的是,專挑目標的攻擊也同時會威脅其他17個被認定為重要基礎建設的產業,包括能源、農 業、交通運輸、電信、醫療、國防工業簽約商,以及核武設施。隨著企業透過Internet協同運作,以及核心的IT系統更需要仰賴公眾網絡,都導致系統安 全漏洞逐漸增加。
政府責任辦公室(Government Accountability Office, GAO)表示:聯邦以及基礎建設的IT系統所受到的威脅「正不斷演進及成長」。回報至US-CERT的安全事件數由2006年的5,500件,3倍成長至2008年的16,800件。(US-CERT是一間負責追蹤安全事件的政府單位。)
駭客進入武器專案系統 入侵者來自中國
此外,在今年4月,政府官員證實,自從2007年以來,駭客已經潛入「聯合攻擊戰鬥機」(Joint Strike Fighter)武器專案的計算機系統中。官員告訴《華爾街日報》,駭客透過此專案的國防外包商獲得存取權;此專案是由Lockheed Martin帶領。藉由透過這些私人公司的進入點,間諜已經偷走了若干TB的設計及電子系統資料。據信入侵者位於中國。
督察長辦公室 (Office of Inspector General, OIG)最近的一次稽核結果顯示,今年2月,FAA的網站遭到入侵,導致48,000現有以及前任員工的資料外洩。OIG表示,駭客於2008年完全掌控了FAA位於阿拉斯加的計算機伺服器,同時破解了位於奧克拉荷馬州的管理者密碼,然後成功竊取了40,000個航空總署的使用者名稱及密碼。屬於稽核一環的 安全測試發現了763個高風險安全漏洞,部分漏洞可以讓駭客透過遠端直接對計算機下達可以將系統關閉,或者顯示敏感資料的指令。
沒有人能對網絡防衛系統有足夠信心
中央情報局CIA揭露,駭客藉由入侵國外某電力系統,造成該國電力中斷。北美能源可靠度公司(North American Energy Reliability Corp., NERC)──也是全美電力工業最大的交易群──已經開始稽核各能源公司,目的要確保這些能源公司已將重要的計算機資產完成登錄,同時計算機資產的安全性需符合聯邦以及NERC的標準。在一封4月份寄給成員的信件中,NERC的首席安全官員警告:「針對一個(或多個)變電所的所有設施發動同步操弄攻擊的情況是可能發生的。」
「我並非想要當一位末日災難預言者。」吉利根表示。他是美國空軍前任的首席信息執行長(CIO)以及SRA International機構負責通訊安全的前任主管。「但我找不到任何一個人,在完全瞭解真正情況後,又對我們自我防禦的能力有足夠的信心。」
留言