防範網路勒索攻擊 卡巴斯基倡議資安透明化

全球機構遭受資安攻擊事件頻傳，網路惡意程式不僅加密速度越來越快，手法日趨複雜，近來更利用合法軟體及系統漏洞發動攻擊與勒索。全球知名網路安全業者卡巴斯基（Kaspersky）的各產品檢測統計，勒索軟體在2022年嘗試勒索攻擊的次數達7420萬次，比起2021年的6170萬次成長了20%。

卡巴斯基觀察近期資安趨勢指出，今年以來勒索程式攻擊的次數略為下降，卻變得更複雜且具針對性，幾乎涵蓋各類型的產業機構或組織，從石化、電信、科技、醫療、教育到服務提供商等工商企業，這些勒索組織已經發展成完整的生態系統，分工也更加工業化。

尤其ICT供應鏈透過不同的伺服器、應用程式和網路連接到不同的供應商、分銷商、承銷商、客戶或服務提供者，一旦其中之一遭惡意程式攻擊，後果將形成骨牌效應，可滲透的缺口越多，遭網路攻擊的範圍也就越大。

卡巴斯基專門為台灣企業和機構，建議了一套加強網路安全的步驟，當中包括制定出核心原則和技術標準、建構完善的程式和法規以管理ICT供應鏈基礎設施、規劃整體網路安全戰略、以及通過政府和私人機構的合作，確保整體網路安全水準的提升。

卡巴斯基的全球研究和分析團隊重點分析了2020年亞太地區某數位憑證頒發機構遭受攻擊的事件，發現了惡意軟體是利用政府和該機構之間的信任，攻擊並利用該機構網站的弱點，實際上政府才是真正的攻擊目標。卡巴斯基以此例說明，夥伴關係除了需要信任，還要以透明度為前提，才能確保網路用戶的安全得以持續地受到保護。

為了贏取客戶的信任，卡巴斯基到目前為止在全球設立九個「透明中心」，供世界各地的政府機關以及合作夥伴查閱卡巴斯基的軟體開發文件、產品程式、威脅偵測規則資料庫、雲端服務、第三方安全審計結果等，以便用戶無後顧之憂。

卡巴斯基亞太、日本、中東、土耳其與非洲地區政府事務與公共政策負責人君怡表示：卡巴斯基的高透明度，目前沒有其它的網路安全供應商可以比擬。我們是第一家，也是唯一一家願意開放產品原始程式碼供審查的網安業者；對透明度的貫徹毫無保留。君怡也公開邀請台灣的政府機關到訪卡巴斯基的透明中心，審查卡巴斯基的產品。

除了透明中心之外，卡巴斯基同時提供最高10萬美元的賞金，懸賞卡巴斯基產品中的重大疏漏。卡巴斯基日前也承諾，把包括台灣等多處的網路威脅相關資料的處理和存儲遷移到瑞士，君怡表示此承諾早在 2021年已經兌現。

在卡巴斯基的「全球透明度倡議」下，卡巴斯基積極爭取獨立第三方的評估，其網路資安防護技術安全性取得美國會計師協會AICPA和全球四大會計師事務所審核，證明卡巴斯基反病毒庫的開發和發布不受干擾。卡巴斯基同時對於國際或區域級的國家執法機構提供調查協助或研究對策，以打擊惡意軟體或網路犯罪，但並未對執法機構提供使用者的資料，也不向任何政府、執法機構或國際組織提供該公司的加密金鑰，並且定期公開所有政府機構對卡巴斯基的數據要求。

卡巴斯基也設計了一套網路能力建設培訓計劃，提升各國網路機構的技術水平，並有許多個國家的監管機構已經參與了這項培訓；為了顯示卡巴斯基對台灣市場的重視，君怡也表示，卡巴斯基願意為台灣的監管機構提供這項培訓。