日本製造業近幾個月來遭受多起駭客攻擊事件,由於日本製造業在全球供應鏈中有著極其重要的地位,《彭博》近日以「日本網路安全噩夢也是全球的問題」為題,對日本網路安全問題進行了探討。
去(2022)年 2 月,日本一家鮮為人知的小公司遭到駭客攻擊,這家名為 Kojima 的小公司,專門生產汽車內的杯架、USB 插座等等物件,這起針對 Kojima 的攻擊事件後續造成汽車製造大廠豐田(Toyota)整條生產線停擺,甚至不得不關閉 14 家工廠,損失金額達到 3.75 億美元。
這起事件,是典型的供應鏈駭客攻擊(supply-chain hacks)。駭客攻入第三方業務合作夥伴的系統,利用它們存取 Kojima 的伺服器,並對該公司的重要數據進行加密。第二天,豐田及其子公司隨即宣布暫停所有國內工廠的營運。
就像 Kojima 攻擊事件帶來的巨大影響,供應鏈駭客攻擊具有破壞經濟的強大潛力,尤其攻擊對象是日本企業時,情況可能更糟糕。
《彭博》報導便提出警告,日本是生產高價值精美產品的製造強國,包括手機、電腦、電動牙刷等等,很多產品的零件都來自日本。加州大學聖地牙哥分校全球政策與策略學院的日本商業教授 Ulrike Schaede 指出,日本生產了 80% 用於電子產品的精細化學品,並且主導了全球光阻劑(photoresist,一種用於製造半導體晶片的關鍵材料)市場,這些企業若受到網路攻擊,其影響將不可估量。
《彭博》指出,日本在去年就出口了價值 423 億美元的晶片元件,並且擁有許多關鍵材料,因此日本的網路安全問題,很有可能具有擴及全球。 Schaede 指出,「人們每天使用到的產品或零件中都少不了日本的參與。日本是全球供應鏈中的重要一環。越往上游走,日本就越重要。」
♦ 延伸閱讀:北韓駭客又發動一波「軟體供應鏈攻擊」!企業如何築起資安防護網?
小企業幾乎沒有保護措施、公部門擋不了 DDoS 攻擊
雖然日本佔據全球製造供應鏈的重要一角,但 Kojima 卻遠遠只是冰山一角。根據日本國家警察廳的數據,發生於日本境內的網路攻擊,僅「勒索軟體攻擊」一項就較去年同期猛增 58%;而光是去年,包括 Fujimi、Denso、Nichirin(日本的汽車軟管製造商) 和 TB Kawashima(豐田旗下的汽車內裝材料供應商)等企業都遭受了程度不一的網路攻擊。
日本部份企業已經開始意識到越來越頻繁的攻擊事件所帶來的風險,並有越來越多的公司購買了網路保險。日本保險公司 Sompo 的承保人員表示,「銷售額與去年相比成長了 20%-30%,不過,較小的公司並沒有足夠的保護措施,他們普遍不知道如何應對緊急事件,也沒有採取相關措施防止損害持續擴散。」
不過,駭客攻擊早已經蔓延至服裝、家具製造商、信用卡公司、社群媒體服務商甚至是圖書館,就連日本政府都曾在去年 9 月遭受侵俄駭客組織的 DDoS 攻擊,光是一次攻擊,就有 20 個政府網站直接掛點。
日本「特殊職場文化」既是盾,也是絆腳石
有趣的是,日本雖然擁有眾多先進技術,但在「文化」上卻仍然相當傳統,這裡說的文化可以分成兩個方面看,第一是相對其他經濟強國而言相當傳統的「IT 文化」,第二則是以「究責」為中心的職場文化。
從 IT 文化來看,當勒索軟體攻擊發生時,這些日本公司通常有能力透過「紙本庫存」、「離線備份系統」來持續保持營運,這些紙本庫存與離線系統既可靠且無法被入侵,且因為可以將那些被破壞的數據或網絡拼湊回來,因此企業也不用支付駭客贖金,「等這些公司慢慢、悄悄地恢復系統後,通常也不太會誠實報告攻擊事件的發生。」日本網路專家指出。
這一有趣的 IT 文化,讓勒索攻擊難以得逞,意外成為了抵禦網路攻擊的一大盾牌。不過,Fujitsu System Integration Laboratories 研究負責人 Tatsuhiro Tanaka 也指出,隨著攻擊頻率上升,也意味著恢復的成本會隨之提高,言下之意,這個「盾牌」並非日本企業的長久之計。
報導中也提到了日本企業中存在著「抵制揭露攻擊」、「牴觸升級系統」等等情況,而這源自於該國的究責文化,並且以現況來說,也很少有企業聘用資安指揮官來專門處理網路攻擊,並負責讓公司的營運持續下去,「我認為日本必須改變這種思維。」Tanaka 說。
不過,日本文化也有值得他國學習之處。例如日本政府要求電信、電力、天然氣和鐵路等關鍵基礎設施的公司「自願提供」網路安全事件報告,儘管這並非強制性的要求,但大部分公司仍然會提交報告,並且共享必要的資訊。日本約超過 1000 家公司屬於這一類別,2021 年共有 407 份報告向上提報。「日本文化的一個獨特之處在於,一旦人們做出承諾,他們就會遵守對他們提出的要求」。
日本的資安防禦力其實也有可觀戰績:2020 年東京奧運的網路攻擊,日本就成功抵擋了數萬起網路攻擊事件,只是這些事情並沒有被大肆報導與宣傳,甚至連日本人自己也不知道。此外,日本也在過去兩年被納入北約的年度網路演習,儘管其非北約成員國。
NTT 網絡安全策略師 Matsubara 向《彭博》指出,「今年越來越多人開始注重資安了,因為他們會擔心出於經濟動機或出於地緣政治的網路攻擊。」
供應鏈攻擊不可輕忽
日本在全球供應鏈的重要性與針對該國企業的網路攻擊,也彰顯「供應鏈攻擊」急需全球企業與政府共同正視,因為這在駭客眼中可說是一筆低成本、高回報的攻擊方式:當駭客鎖定整條供應鏈為攻擊對象,就不用等該組織曝露弱點──他只需要在依存關係中找到一個潛在安全問題,就有辦法進行攻擊,進而對上百或上千個下游企業造成衝擊。
雖然市面上沒有任何一套資安工具能提供滴水不漏的防禦,但企業還是能靠著遵守資安防禦的最基本原則,來提升資安防護力。
♦ 延伸閱讀:別當下一個被勒索 7 千萬美元的公司!企業如何應對供應鏈攻擊?
參考資料:彭博、VentureBeat,首圖來源:Shuttestock。
