在过去两年,亚太地区(APAC)与世界其他地区一样,由于疫情影响,数字化取得了巨大的飞跃。鉴于这种仓促性和紧迫性,网络安全措施已经退居次要地位,导致去年发生了一些备受瞩目的ICT供应链攻击事件。
世界上已经发生了多起引人注目的事件,网络罪犯利用信息和通信技术(ICT)供应商的弱点,将其作为攻击发射台,一举攻克许多其他目标。全球网络安全公司卡巴斯基认为,随着网络罪犯试图将这种威胁进一步变现,这一趋势将持续下去。
尤金·卡巴斯基(上左)、Genie Gan、 Pratama Persadha博士(下左)、Shri Rajeev Chandrasekhar(下中)、Dato’ Ts. Haji Amirudin Abdul Wahab博士(下右)
卡巴斯基首席执行官尤金·卡巴斯基在评论这一趋势时表示:“过去两年中,出现了一波利用ICT供应链中关键漏洞的新一波攻击。随着威胁行为者不断发展他们的技术和战术,我们预计供应链攻击将在2022年及以后成为一个日益增长的趋势。”
为了制定可能的解决方案,以加强该地区的ICT供应链抗风险能力,卡巴斯基举办了第四届亚太地区在线政策论坛,邀请包括以下杰出的行业和政策专家参加:
Shri Rajeev Chandrasekhar | 印度电子和信息技术部及技能发展和创业部国务部长,
Dato’ Ts. Haji Amirudin Abdul Wahab博士 | 马来西亚网络安全局首席执行官
Pratama Persadha博士 | 印度尼西亚通信与信息系统安全研究中心(CISSReC)主席
Dato Amirudin 赞同卡巴斯基的说法,并解释说:“针对供应链的工作人员的攻击数量越来越多,这些目标也比以往更容易遭受攻击和面临风险。供应链攻击很难处理,因为它的恶意软件设计隐藏在受感染的系统和用户的设备中。特别是在当今的环境中,各国正在慢慢从疫情中恢复过来,并开始走向数字化转型。”
他还在论坛上指出,需要对 ICT 供应链中涉及的所有部门进行安全意识和教育,包括没有预算和资产投资以改善其网络安全防御的中小型企业 (SME)。
Pratama Persadha博士补充说:“抗风险能力就是抵抗和恢复能力。政府和非政府利益相关者将这些风险降到最低的一个方法是提高网络安全能力,这将随后提高ICT供应链的抗风险能力。”
“但是,如果所有相关方不改善其系统的网络安全,抗风险能力就会受到限制。主要障碍是缺乏对网络安全对提高ICT供应链弹性的重要性的认识。最后,利益相关者必须考虑进行重大投资,以提高网络安全的整体标准,从而提高ICT供应链的抗风险能力,” Persadha博士解释说。
跨界合作
论坛上的发言者还一致认为,有必要进行情报共享和国际合作,以确保亚太地区及其他地区的国家、组织和个人的安全。
“确保ICT供应链安全和确保安全和可信的互联网空间的责任是印度政府高度重视的事情。这项战略的核心部分是与所有利益相关者进行跨界合作,以确保科技空间和信通技术供应链的保护和抗风险能力,” Shri Rajeev Chandrasekhar表示。
作为跨界合作和建立网络安全能力的积极倡导者,卡巴斯基一直与其合作伙伴进行合作,以提高全球社区的认识并提出可操作的步骤,这些步骤在最近的巴黎信任倡议活动中完成。
这家全球网络安全公司还通过全球透明倡议建立了其网络安全的基线标准,其中包括公司采取的一些可操作的具体措施,以欢迎其他人验证和核实我们的产品、内部流程和业务运营以及网络空间安全的可信任度。
在解释可能的解决方案时,卡巴斯基表示,政府和私营部门都应该研究短期和长期战略。
短期的解决方案包括改善ICT供应链基础设施的程序和法规。卡巴斯基引用了公司对供应链合作伙伴进行认证,以将攻击减少到接近于零。政府法规在这方面也发挥着关键作用,就像在关键基础设施的情况下一样。
尤金·卡巴斯基补充说:“长期的解决方案是使系统具有免疫力。这意味着系统的设计方式是,即使ICT供应链组件容易受到攻击,它也不会影响系统的其余部分。即使供应链中存在零日漏洞或任何其他漏洞,它也不会转移到供应链中的其他组件中。”
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。
关于马来西亚网络安全局
马来西亚网络安全局是马来西亚通信和多媒体部管辖下的国家网络安全专家和技术机构。从本质上看,马来西亚网络安全局致力于提供广泛的网络安全创新主导服务、计划和举措,以帮助减少数字系统的脆弱性,同时加强马来西亚在网络空间的自力更生能力。提供的专业网络安全服务包括网络安全响应服务;网络安全主动服务;外联和能力建设服务;战略研究和参与以及行业和研究发展。
关于电子和信息技术部(MeitY)
印度电子和信息技术部(MeitY)致力于促进电子政务,以增强公民权能,促进电子、IT和ITeS行业的包容性和可持续增长,加强印度在互联网治理中的作用,采用多管齐下的方法,包括人力资源开发,促进研发和创新,通过数字服务提高效率,并确保安全的网络空间。
关于通信与信息系统安全研究中心(CISSReC)
CISSReC(通信与信息系统安全研究中心)是印度尼西亚的一家非营利组织,专注于信息和通信系统安全研究。该机构旨在帮助创建一个意识到并理解信息和通信系统安全重要性的社会。
该机构由信息技术安全和密码学领域的专业人士创立,将继续通过公布研究成果和开展信息和通信系统安全领域的各种活动来教育公众。
