卡巴斯基实验室东南亚地区部经理姚祥忠。

很多人对手机资料会被盗取,或者骇客的目标表示不关心,因为他们认为,他们的信息不值得偷。对此网络安全软件卡巴斯基实验室东南亚地区部经理姚祥忠表示,我们的个人资料或许不值得偷,但是银行的钱却值得偷,因为在目前,大家都在用电子银行、电子钱包。

他说,其实,我们的手机里有很多资料,这包括账户、密码,很多人都拥有一台手提电脑及手机。

“手机被入侵后,将导致被锁机及用户名与备用号码遭盗取,以及以手机转账存在一定的风险,例如一个人不知手机被骇客入侵,他不知道骇客的代码存在,当他启动转账时,可看到输入的号码,然后收取有关号码,可在另一台手机上运作。”

“一些银行转账服务有双向认证,第二个认证为手机,其实这是错误的,因为当手机被骇,双向认证已是无用,因为骇客可控制它的认证,所以双向认证在严格上来说,应该以不同手机或媒体接收,这才算双向认证,如果使用同一手机,则不算双向。”

他说,可是银行则是从不同角度考量,它主要是为了吸引客户,即如果它不提供方便,客户将不会使用有关服务。

- Advertisement -

他指出,现在几乎100%手机都没有防毒软件,即使有的话,也只有1个月或最多半年的试用期。

他给予手机使用者三大劝告,一是手机使用防毒工具,二是尽量不要使用无线上网,三是只下载可信的应用程序。

他解释,尽量不使用无线上网,因为这可能是有人设置热点,使用无线上网,使用者的资讯是从设置者之处流出,这些资讯可被“看完”。

网络安全扮演重要角色

姚祥忠说,工业4.0主要是生产链、供应链普遍上需要数据化、自动化,因此网络安全扮演着极为重要的角色。

他强调,以前的生产供应链及生产线的科技与网络,资讯工艺系统是分开的,根本不挂钩,所以生产线也不需要花太多时间及精神去注意网络安全。

他指出,但现在工业4.0已开始,主要的想法是,所有的设计到出产、运输都需要数据化,在这种情况下,设计图必须数据化,至生产链,再由生产链去生产,无疑中就必须把这些系统挂钩在一起。

“普通上,我们看到很多骇客入侵资讯工艺系统,以及也看到很多资讯工艺系统是脆弱的。”

“现在我们必须把这2个系统挂钩在一起,无疑中也把生产链中的所有系统也挂钩上去,也变成脆弱的地方。”

他透露,普通资讯工艺系统,一般的资讯工艺安全网络意识、工具都可以得到相当的保障,但生产链的系统的科技也需要保障,现在这两样都必须着重的做。

“所以我们现在跟所有客户,包括政府官员,都在提倡,告诉他们,工业4.0固然是好,但也必须同时保障上述两个系统的安全性。”

他重申,保障安全要看整个物链,整个系统,所以保障分成几块的保障,最基本的网络安全为必须看到基本的设施,好像防火墙防毒软件,都是“基本功”,这“基本功”必须也打,如果不打,根本是自找麻烦。

”然后接上去,一线的银行,重要的工业化,好像电工业、钢铁生产业、汽车制造业或者好像发电厂,这些都属于国家重要的工业线,这些都必须受到保障。”

“这一环,我们需要特殊的工具跟技能才做得到,这方面需要三管齐下,一是法规,即法律的规定、制定,必须划分什么是国家重要的工业,必须要受到保障。”

他强调,很多国家都已列明什么是重要工业,例如发电,水工,电讯、国防,这些都是重要工业,必须有自己的系统,安全营运中心,这就是法规的制定,以及如何去维护,这是规管方面着手。

他说,第二是必须从基础设施下手,基础建设、软件、硬件,必须样样齐备。

他指出,第三是技能的提高,普遍上,技能的提高是很重要,以及不局限于专管资讯工艺,也包括普通用户,例如普通的财务人员收到电邮,这电邮可能是一个钓鱼邮件,如不小心打开,骇客的代码就会无形中穿了进来。

资讯工艺安全人才欠缺

姚祥忠说,很多国家欠缺资讯工艺安全的人才,这必须着手推动栽培更多这方面的人才。

他称,缺乏网络安全人才,最主要为这是一个新式的行业,之前网络安全人才只局限于属于资讯工艺这小部分,最多也是做一些防毒工具,但近5到10年,骇客技能也提升很多,而且骇客不只是单独行动,他们都有自己的群体,有一些更是有组织性。

- Advertisement -

他继透露,有组织性的骇客,所投入的物资、人资都是很多,而且回报率也挺高,所以促长了这方面的活动。

姚祥忠认为,普遍上一个网络人才,同样一个人才,他也可以是骇客,只是有关人才是选择站在那一方,这相等于是水能载舟,也能覆舟。

他说,网络安全人才为十分专业,而且也必须不断的跟进,要吃行饭为不简单。


- Advertisement -