旅行社遭黑客入侵,勒索七位數字贖金。唔少同業即加強防禦,但防不勝防,唔少人只係著重保密,結果資料一旦受破壞,馬上不能運作,備份亦係IT保安一度防線。
唔少公司,亦已不再保留信用咭資料,以免系統入侵後,黑客只有客戶名單或交易資料,亦無信用資料。即使蘋果電腦,保安極為嚴密,亦唔保留信用咭資料,甚至連客戶敏感資料,亦唔敢保留。
雖然話,入侵防不勝防,但係如果不幸遇襲,損失慘重,可唔可以投保險?外國已經有保險公司推出IT保安產品,不過保費點樣釐定?亦有唔同方法,美國波士頓有家保安公司Bitsight,推出類似信用保安(Credit Rating),評分低就自然保費高。
Bitsight點評定一家公司IT保安?答案有幾方面,一方面當然係從外部測試,決定該公司有幾多弱點漏洞,另外Bitsight網上建立唔少Sinkholes,蒐集Dark Web活動。網上唔少黑客控制Command & Control(C&C)機器,呢啲機器通常遭黑客俘虜控制,然後用呢發施攻擊號令。Sinkhole就係監察C&C,馬上知道部分企業已被入侵,Bitsight就計算究竟呢啲企業,用多少時間,先解決APT,然後計出保安評分(Security Rating)分數相差可能好大,當然亦有企業不知不覺,直到收勒索信,先驀然警醒。事實上,即使安裝類似FireEye之類,知道被APT入侵,唔少亦要相當時間,先完全清洗,期間就可評分,定出IT保安防禦能力高低。
Bitsight另一用途,係為CSIO評分,作為同業Benchmarking。某家銀行如果請咗CSIO,使咗唔少錢銀買保安設備服務,成效如何?好多時並無客觀水平;等到遭黑客入侵後,先恍然大悟。Bitsight可以打分,比較業內同行水平(例如旅行社當然不可同銀行比較),董事會就知CSIO工作成效,低於同行水平,可能就醒神些少。
外部測試可以有幾準確?大家可能有疑問,Bitsight甚至可比較內部保安水平;因為Bitsight從不同來源購買數據,甚至知道企業內部系統設定。聽落似乎天方夜譚,但估計香港唔少公司,用咗免費管理軟件,內部網絡架構資料亦被外間知悉。Bitsight再從多方面蒐集購入,加以分析,變成Dashboard顯示,網絡世界原來真係無乜秘密。
SingTel係Bitsight投資者之一,見Simon Lok搜尋香港藍籌公司,內部資料竟然真係一目瞭然,果然神奇。呢項服務類似Transunion保安評分,自己評分自己查。SingTel亦曾投資Fireglass,以蒙騙技術(Deception)做網上保安,可惜未及整合,已被Symantec收購。