12         第 1366 期 2022 年 11 月 11 日 星期五




         澳洲频发客户信息被盗 网络安全为何如此不堪一击？






             澳大利亚电信公司Optus、私人医疗保险公司                      容易提供，假工资单也可以通过免费网站自动生                            内。私营公司存储了大量的私人数据。他们存储的

         Medibank和其他公司最近遭到网络攻击，数以百                       成。                                               内容和存储方式需要得到更好的监管。例如，
         万计的澳大利亚人的个人隐私信息遭泄露。                                                                              Optus所遭受的黑客攻击就显示，该公司不仅保存

                                                             在某些情况下，网络犯罪分子可以在审批获准                         了当前客户的数据，而且还保存了过去客户的数

             网络犯罪分子窃取了敏感的有关个人健康和财                        后立即开始使用信用卡。除非在随后的抵押贷款或                           据。鉴于客户经常更换电信供应商，这样的做法会
         务的数据，这些数据可用于敲诈、欺诈或获取赎                           信贷申请中检查信用报告，否则受害者是不知道这                           导致公司存储大量不必要的个人数据。

         金。                                              张信用卡的存在的。

                                                                                                              目前，对未能保护客户数据的惩罚措施也不够
             执法机构仍在调查这些攻击事件的源头，但作                        如何追踪网络犯罪分子                                       完善。目前，最高220万澳元的罚款是唯一可执行的

         为网络和国家安全方面的专家，我们可以说有两件                                                                           保障顾客隐私的措施。

         事已经相当清晰了。                                           网络犯罪分子自然会采取办法使自己保持匿名
                                                         状态。不过，申请信用卡确实会留下痕迹，人们可                               这些惩罚力度太小，无法起到有效的震慑作

             其一，所有受到影响的人都应该检查一下他们                        以通过以下方式来追踪肇事者：                                   用，而且这些只适用于发生违规事件之后。我们需

         的信用记录；其二，澳大利亚的国际网络参与战略                                                                           要的是对当前消费者数据的存储和过去客户数据删
         （international cyber engagement strategy）亟          在法院令和电信服务提供商的协助下，可以追                         除的严格、可执行的规章制度。

         需更新，这个战略规定了我们如何与其他国家合作                          踪到用于申请信用卡的电话号码
         以维护国家网络安全的条件。                                       在信用卡供应商的帮助下，也可以追踪用被盗                             如果没有新法规的出台，针对私营企业部门的

                                                         数据获得的信用卡上的交易，以及电子邮件的往来                           复杂网络攻击事件还将持续不断。
         犯罪分子如何利用窃取到的信息转化为信用                             信息

                                                             任何与这张[非法]信用卡相关的可疑IP地址都可                      没有国界的网络犯罪

             网络犯罪分子最常见的动机就是赚钱，因为这                        以获得有关网络犯罪分子的进一步信息，互联网服
         种投资的回报可以是巨大的。最近的一项估算表                           务提供商（ISP）或虚拟私人网络（VPN）提供商都                            在许多情况下，网络犯罪分子来自其他国家，

         明，花费34美元的低级攻击可以带来2.5万美元的收                       可以协助追踪犯罪分子                                       这意味着我们需要国际合作来追踪他们。这时，澳

         益，而花费几千美元进行更为复杂的网络攻击就可                                                                           大利亚的国际网络参与战略（Australia's              Interna-
         以带来高达100万美元的收益。                                 国家安全问题                                           tional Cyber Engagement Strategy）就会发挥作

                                                                                                          用。

             黑客可能要求获得赎金，以换取个人被盗信息                            Optus和Medibank遭受黑客攻击给个人带来
         不被泄露。如果做不到这一点，他们也可以通过其                          了重大损失和困扰。他们不得不申请新的个人身份                               这个战略于2017年发布，旨在促进国际社会更

         他方式来赚钱。                                         文件，而最终的费用可能总计数亿澳元。                               加关注网络威胁。该战略呼吁在本地区和其他地区

                                                                                                          加强合作，以减少网络风险。
             例如，在9月针对Optus的攻击中，包括姓名、                         但是，防止网络攻击也可能是一个国家安全问

         出生日期、电子邮件地址、驾驶执照号码以及医疗                          题，正如最近对澳大利亚国防军（Australian                            澳大利亚的国际网络参与有别于澳大利亚国内

         保险和护照的详细信息在内的数据遭到窃取。                            Defence  Force）手下一名承包商遭受勒索软件攻                    的网络安全工作，后者是在澳大利亚网络安全中心
                                                         击所显示的那样。                                         （Australian Cyber Security Centre）的主持下进

             将这些数据变现的一个快速方法就是用它们来                                                                         行。

         申请信用卡。许多信用卡供应商急于寻找新客户，                              在这种攻击中受影响的数据可能很容易超出个
         因此采用非常简单、简化的程序来鉴别和检查申请                          人身份被盗的范畴，可能包括与国防、商业和社会                               由于目前的国际紧张局势，源自外国的网络攻

         人身份。                                            相关的数据。澳大利亚网络安全战略已经认识到这                           击正呈增长态势。目前的战略可能不再足以应对网
                                                         些攻击的风险，但一定要进一步防范此类攻击。                            络威胁的国际性质。

             除了姓名、地址和驾驶执照等被盗数据外，网

         络犯罪分子还需要一个电子邮件地址、一个电话号                          加强数据保护                                               该战略包含了围绕战略利益进行合作的高级别
         码和工资单。                                                                                           承诺，但这仅仅是一个开始而已。为了创建一个全

                                                             全国网络防御需要采取“政府整体一致”的方                         面的国际网络防御方式，我们将需要与海外合作伙
             用于通信和认证的电话号码和电子邮件地址很                        法，但这还不够，商业和民用部门也必须包括在                            伴达成更为详细的工作安排。