年度信息安全事件盤點

2019年，是信息技術發展過程中里程碑式的一年。新興熱點技術人工智能、5G在與持續熱點技術大數據、云計算等快速交叉融合后，已經在自動駕駛、智慧城市、智能制造、健康醫療等領域開始走向應用。作為信息社會中的個體，大多數普通人對技術的快速發展感到驚喜，對技術給未來社會帶來的改變充滿期待。但是，就像陽光的照耀下一定會存在陰影一樣，信息技術飛速發展過程中伴隨的安全問題，也像一個巨大的陰影，揮之不去。

2019年，從工控基礎設施攻擊、個人信息泄露到政府、知名企業遭受勒索軟件威脅，各類安全事件仍頻繁發生，令人防不勝防，值得警醒。

工業控制系統攻擊

3月，委內瑞拉電力系統遭到大規模網絡攻擊，國家電力干線也反復遭到電磁攻擊。該國最重要的古里水電站遭到惡意破壞，這座水電站供應委內瑞拉80%的電力，導致全國23個州中的21個州停電，歷時6天。挪威最大的工業制造公司Norsk Hydro的工控系統遭受攻擊，造成多條生產線關閉。Norsk Hydro是全球最大鋁制品生產商，此次攻擊引發全球鋁制品交易市場震蕩。

6月，全球最大飛機零件供應商之一ASCO的生產系統被黑客攻擊破壞，造成系統癱瘓，德國、美國、加拿大、比利時的工廠被迫關閉，上千名工人停工。伊朗軍事系統受到美國發動的網絡攻擊，部分軍事指揮、控制系統和導彈控制系統受到破壞，國家安全受到嚴重威脅。

10月，全球最大的助聽器制造商Demant公司的制造設施遭黑客攻擊，直接經濟損失高達9500萬美元。世界最大云服務商亞馬遜云平臺Amazon Web Services（AWS）遭到黑客DDoS攻擊，服務中斷達8小時之久。

點評：工業基礎設施安全關系到國計民生，一直是工控領域關心和研究的重點。隨著工業信息化的持續推進，工業設備網絡連接、協調化生產日益呈現出加速發展的趨勢。工業生產裝備、各類傳感設備、工業控制系統等極易成為黑客攻擊的對象，造成基礎制造行業癱瘓、生產停滯、運營中斷等嚴重后果。未來，隨著工業系統的智能化、網絡化持續推進，工控領域的信息安全將成為國與國網絡攻防對抗的主戰場。

用戶信息泄露

1月，澳大利亞維多利亞州政府3萬多名公務員工作數據被盜，不法分子可能會利用盜竊的郵件、電話號碼等信息對政府公務員進行網絡釣魚攻擊、垃圾郵件攻擊等。

3月，Facebook數億用戶密碼在數據庫內以明文形式存儲，其內部員工具有訪問這些用戶密碼的權限。這一技術漏洞將可能導致大約2億到6億用戶賬號信息被泄露。環球易購旗下跨境電商網站Gearbest有數百萬用戶信息和訂單泄露，包括用戶姓名、地址、電話號碼、郵件及訂單產品信息等。

7月，美國第一資本銀行金融公司顧客個人基本信息被竊取。據該公司披露，大約有1億美國用戶個人信息被竊取。被竊取數據包括2005年至2019年初信用卡申請者的基本個人信息（主要為信用評分、支付歷史以及部分交易數據）、大約14萬個美國用戶的社會安全號碼以及8萬個關聯銀行賬號。俄羅斯聯邦安全局服務器遭到黑客入侵，7.5TB數據被盜，包括俄羅斯有關社交網絡用戶登錄信息等重要數據。

9月，總部位于馬來西亞的馬印航空公司服務器被黑客攻擊，導致數百萬名乘客的護照信息、住址和電話等個人信息外泄。

10月，美國知名圖形圖像和排版軟件生產商Adobe旗下一處數據庫被發現未采取安全措施，任何人皆可通過網絡對其進行訪問。這一漏洞導致750萬Adobe 用戶信息泄露。

點評：信息社會，用戶數據的重要性不言而喻，但用戶個人信息泄露的事件仍頻繁發生。若想有效抑制對用戶個人信息的侵害，在加強安全技術研究的同時，更需要提高公民網絡安全意識、健全安全管理制度。2019年3月5日，十三屆全國人大二次會議開幕，李克強總理在政府工作報告中提出“整治侵犯公民個人信息等突出問題”，而在上一年的政府工作報告中也曾提出“整治電信網絡詐騙、侵犯公民個人信息、網絡傳銷等突出問題”。由此可見，我國對公民個人信息的保護已經上升到國家意志高度。

勒索軟件攻擊

5月，美國佛羅里達州里維埃拉市政府遭到黑客勒索，在向黑客支付60萬美元贖金后，市政工作才得以恢復正常。

8月，勒索病毒通過垃圾郵件在國內多地政府和企業傳播。據騰訊安全御見威脅情報中心消息，湖北、山東等地的醫療、電力系統均遭到勒索病毒攻擊，攻擊者會留下勒索說明文檔，要求聯系指定郵箱購買解密工具。

10月，全球知名電子商務企業Pitney Bowes遭受勒索軟件攻擊，攻擊者破壞了公司系統數據，超九成全球500強企業電子商務業務受到影響。法國最大商業電視臺M6 Group遭到勒索軟件破壞，電視臺電話、郵件、辦公等業務被攻擊中斷。南非約翰內斯堡市受到網絡勒索攻擊，黑客組織將惡意軟件植入了與該市有關的所有電子服務和計費統計系統中，并向市政府勒索贖金。

11月，加拿大Nunavut地區政府網絡遭到勒索軟件攻擊，所有電子信息服務癱瘓。據加拿大廣播公司（CBC）報道，勒索具體內容如下：“您的網絡已被滲透，全部文件已被強大的算法進行了加密。我們可以為您提供解密軟件。如果您一直未進入鏈接取得密鑰，您的數據將被完全刪除�！蹦�西哥國有石油公司Pemex的系統被勒索軟件感染。黑客向Pemex提出565比特幣的勒索金額，并威脅“我們還收集了所有的私人敏感數據。如果拒絕付款，我們會將這些數據傳播給其他人，這可能會損害您的商譽”。雖然這場攻擊最終被及時消除，但也給該石油公司的運營造成了不良影響。

點評：在經濟利益驅動下，勒索軟件攻擊屢見不鮮，2019年依然是勒索軟件攻擊事件高發的一年。其攻擊是“交互式”的，攻擊黑客會主動搜尋和監測目標，并根據情況調整策略，受害者不交錢不罷休。增強系統的強壯性、提高用戶的安全意識始終是防范此類安全事件的重點。

2019年即將過去，又一個嶄新的十年正在向我們走來。即將到來的十年，注定是人類科技歷史上不平凡的十年。5G和人工智能這兩個“引信”已經點燃，信息技術“核爆”即將發生：未來十年信息技術領域的成果和創新將遠遠超過過去一百年的總和。

回望2019年，國內外發生的信息安全事件令人憂心忡忡。信息技術是把雙刃劍，其中的安全問題隨著社會信息化的推進影響越來越大。小到個人，信息技術在帶來工作、生活種種便利的同時，個人信息的保護已經成為每個人都必須要面對的問題；大到國家，信息安全關系到國計民生、社會穩定和經濟發展，關系到國家安全和政權穩定，是國家安全的核心部分。

未來的十年是從信息時代跨入智能時代的十年，這一過程中的信息安全問題，將從個人、國家這樣的組織層面上升到整個人類社會的層面。歷史的車輪滾滾向前，不可阻擋，信息安全“道阻且長，行則將至”。

（轉載自《保密工作》雜志2019年第12期）