2018年07月30日 -A2 城事-

大仁说财经 分析推特遭骇事件:远距工作可能是元凶

http://newspaper.gjzbao.com 来源:            发布时间:2020-07-30

 骇进欧巴马(Barack Obama)、肯伊威斯特(Kanye West)和其他名人帐户的推特遭骇事件,是近年来最受人瞩目的网路安全漏洞之一,更重要的是,它是在众目睽睽之下发生,使得情况更为严重。

这是自3月许多企业因为新冠病毒疫情爆发而转型至远距工作后,首次发生的重大漏洞。

对于推特来说,被骇客攻击肯定让人难堪。CEO多尔西(Jack Dorsey)在该公司财报电话会议中为此道歉,他说:这对我们在推特上的所有人来说都是非常艰难的一周,我们对此安全事件感到遗憾。 

对于其他企业而言,这种骇客行为可以提醒人们:即使当前还有许多其他事情要担心,像是经济衰退和疫情持续高涨,网路安全威胁仍然是个大问题。而且此刻可能比平常更趋近真实生活,专家们说,让很多人在家工作会带来独特的安全风险,尤其是考虑到许多企业其实是一夜之间就决定转型。

目前还不清楚推特的远距工作政策是否与骇客有任何关系,推特曾允许部分员工只要愿意就可以「永远」在家中工作。但这也是其他企业应该注意的事情。

乔治亚州立大学电脑科学理教授布尔乔瓦(Anu Bourgeois)指出,转型成远距工作在无预警情形下一夕完成,突然间人们被告知:你明天不必去公司上班。这会让每个人突然变得十分脆弱。

远距工作带来的安全风险

根据美国劳工统计局的最新数据,从2017年到2018年,只有大约29%的员工可以选择在家工作。

当新冠病毒疫情袭击美国时,雇主们不得不首度急着让占全美绝大部分的劳动力转型至远距工作,这项艰巨的任务可能反而产生涉及网路安全遭突破的捷径。

在转型期间,企业可以采取多种方式。布尔乔瓦说,考量到急于确保员工安全但也仍保持工作流程,企业可能会给员工配置未安装适当安全软体的笔记型电脑,或者要求员工使用自有个人设备进行工作。

对于那些买不起额外设备并突然发现自己须在家中工作、而且小孩们也得远距上学的员工和家庭来说,这个问题可能更严重。布尔乔瓦说:他们被迫让许多人共用一台设备。在工作时可能只是一个人,但当小孩可能也被迫将用于工作的设备也用于学校或娱乐活动时,这个机器设备就很容易受到不同人员的攻击。

惯于让员工偶尔在办公室外工作的企业,可能还必须开发新的登入控制。员工可能只能在办公室内部登入公司的伺服器和数据,而现在他们可能必须登录VPN或其他入口网站才能安全地取得工作所需的讯息。

布尔乔瓦说,为远距工作者设定适当的网网安全协议,特别是对于大型公司而言,这将是非常耗时且难以做到的。

她补充说,即使使用现有的安全软体,企业也可能遇到问题。部分安全系统会追踪员工的上网习惯;像是登入公司系统的正常日期、时间和使用时间,以辨识可能在在的骇客。但是,这样的系统可能会由于人们在大流行期间不断变化的工作习惯而受到干扰,因此不太可能发现漏洞。

目前对推特骇客所知部分

目前尚不清楚推特的骇客行为是否与企业应对新冠大流行而制订的远距工作政策有关。

调查该事件的前推特员工承认这是可能的,但没有证据表明推特为因应在家办公而对其安全性妥协。推特也拒绝评论其远距工作政策。

推特指出,帐户遭骇是针对具有管理权限的员工进行协调社交控制攻击的结果,目的是控制帐户。

专家说,当人们在家工作时,也很容易受到社交控制,因为他们可能会分散注意力或放松警惕。

布尔乔瓦说:人们在不同的环境中会有不同的表现。在家办公或者在办公室工作,两种思维方式是截然不同的。太多人让小孩共同使用工作电脑,因而让他们分心,他们只想赶快完成必须完成的工作任务,因而对防范这种像是网路钓鱼邮件或电话的社交控制策略疏忽大意。

有些人还警告,骇客可能试图利用人们对新冠病毒的恐惧来进行攻击或网路钓鱼。

Electronic Frontier Foundation在3月的网路贴文中写道:随着全球对新冠病毒的焦虑继续升级,反而造成以往十分谨慎的数位公民点击可疑链接的可能性升高。

该机构告诫人们注意与新冠病毒有关的可疑讯息,尤其是听来是那种难以置信的好消息,例如提供个人讯息以换取免费新冠病毒疫苗的优惠。

布尔乔瓦说,除外使用防毒软体和双重身份验证之外,想避免成为攻击的下一个目标,企业的第一要务就是教育

她说:除非员工精通于对抗所有不同类型的攻击,并且知道该做什么来防范,否则无论做了什么都无关紧要,因为人是很脆弱的。教育劳工是最重要关键。