|
省隐私监管机构的一份报告发现,尽管委员会安全部门发出了内部警告,但多伦多公共交通系统并未做好应对 2021 年网络攻击的准备,该攻击导致其部分通信系统瘫痪,并泄露了超过 25,000 名员工的私人信息部门几年前发布的。 此次泄露事件于 2021 年底首次报道,泄露了约 25,000 名过去和现任员工的个人信息。这些信息包括员工姓名、地址和社会保险号 (SIN)。这次攻击还摧毁了多个面向客户的系统,包括旅行计划应用程序、TTC 网站和在线 Wheel-Trans 在线预订门户。 虽然 TTC 没有公布有关此次违规行为的细节,但安省信息和隐私专员 (OIPC) 于 4 月份发布的一份报告对所发生的事情提供了一些新的线索,包括在一名员工多次陷入违规行为后,这件事才成为可能。网络钓鱼尝试。 该报告还表明,尽管有其他指示的标准,但该委员会未能确保其安全软件保持最新状态,从而加剧了违规行为。 “在调查过程中[...],很明显,事件发生时,TTC 没有适当的安全指导[...],并且在漏洞被利用的情况下,未能OIPC 调查员 Jennifer Olijnyk 在她的调查结果中写道:“应用现有的指导。”报告称,调查人员并不清楚该委员会为何未能实施其安全部门建议的软件更新 Olijnyk 的发现并不是第一个表明 TTC 容易受到网络攻击的发现。根据多伦多 CTV 新闻看到的一份内部报告,2018 年,TTC 安全部门警告该委员会,它没有采取足够的措施来防范网络攻击的风险。 报告称,该报告是安全部门应急计划官员撰写的内部分析报告,已于 2018 年 7 月提交给委员会的审计和风险管理委员会。 它建议 TTC“重新审视”当时使用的风险评估模型,“因为它[没有]考虑到关键风险,例如网络攻击[……]也[无法]阐明此类风险的影响有关组织的活动。”还鼓励委员会采用多伦多市当时使用的标准化风险评估流程。 委员会还提出了其他选择,包括实施具体的对策和政策以降低违规风险。 当联系多伦多交通委员会对调查结果发表评论时,多伦多交通委员会没有概述其继续实施的 2018 年报告中的哪些指导(如果有),也没有详细说明其当前的网络安全措施。 在向多伦多 CTV 新闻提供的一份声明中,发言人斯图尔特·格林 (Stuart Green) 表示,该委员会的网络计划“自 2018 年以来已经成熟,可以显着强化[其]安全态势”,并且当前协议基于行业最佳实践。 “与任何大型组织一样,网络安全是 TTC 的首要任务,”格林说。 “确保我们的网络、运营和个人数据的安全性和完整性是公司的关键优先事项。” “鉴于这些安全措施的敏感性和机密性,我们无法进一步发表评论,只能说我们欢迎任何能够带来更大系统保护的建议,”他继续说道。 2021 年网络攻击是如何发生的?根据 Olijnyk 的报告,这次泄露是由两个部分造成的:首先,黑客能够入侵“受信任”的第三方。 从那里,外国实体在第三方与委员会之间的电子邮件通信中插入了恶意链接。据报道,一名员工随后点击了该链接,由于缺乏最新的安全软件,允许通过恶意软件访问 TTC 的系统。 报告发现,就在一个月前,这名员工刚刚接受了为期 31 分钟的网络安全模块,其中包括有关网络钓鱼威胁的部分。 发现漏洞后,TTC 启动了其信息技术安全协议并通知了公众。该通知通过新闻稿发布,称已经避免了重大服务中断,并且“员工或客户安全不存在风险”。 该委员会在两周后发布的更新中纠正了这一问题。在该通知中,该公司告知公众,大约 25,000 名员工的个人信息可能已被泄露,但声称没有证据表明任何信息被滥用。 该报告的作者指出,作为调查的一部分,TTC 已向调查人员提供了有关攻击如何发生的更详细解释,但“出于安全考虑”,TTC 要求不要公布这些细节。 滑铁卢切里坦计算机科学学院的迪奥戈·巴拉多斯 (Diogo Barrados) 博士表示,该委员会在 2021 年经历的这种攻击“非常典型”。 巴拉多斯说:“此类数据泄露通常涉及某种人为错误,或者从技术上讲,我们称之为社会工程,即试图让某人点击某些恶意链接,或者让某人下载恶意附件。” “然后,一旦威胁行为者在系统内建立了立足点,恶意代码就有机会传播,”他说。在本例中,这是由于泄露时缺乏软件更新造成的。软件漏洞是我们自 80 年代初以来一直在讨论的问题。因此,[攻击]方法仍然相似,我们仍然遇到相同的问题。” 调查人员在报告中建议委员会调整其网络安全政策,以符合信息和隐私专员 2019 年发布的建议,这些建议旨在作为减轻网络风险的详细指南。 这些建议包括对包含敏感数据的网络进行分段、采用威胁防护和端点保护工具、启用加密以及定期进行网络钓鱼意识。 作为调查的一部分,该委员会概述了实施上述措施的具体计划,最晚预计完成日期为 2024 年第一季度。当被问及截至 6 月份这些建议是否已得到充分实施时,TTC 没有回应 CTV 新闻。 其他公共机构在做什么?当被问及其网络安全政策时,安大略省的另一家公共交通机构 Metrolinx 在一份书面声明中表示,它“采取了适当的保护措施,以确保客户信息受到保护”。 该机构的员工规模约为 TTC 的一半,并表示会定期进行测试以监控其 IT 系统,并“不断”寻找加强其网络的方法。虽然没有详细说明这些措施的全部范围,但该交通机构表示,它对所有 PRESTO 和 GO 电子客票交易都采用了加密技术,并且其内部员工网络仍然是独立的。 至于教育,所有 Metrolinx 员工和承包商都必须完成年度网络培训模块。 公共机构应该汲取哪些教训?巴拉多斯说,为了充分应对网络攻击的威胁,公共机构需要双重防御。 巴拉多斯继续说道,仅仅拥有年度网络安全模型是不够的。更全面、更频繁的模型需要与其他措施相结合,例如在具有敏感信息的网络之间采用分层或分离。 “你可以训练你的人员,但你不能24/7地在他们身边,所以我真的认为要实现这种安全,从高层到低层系统,我们确实需要多层防御,”他说。 “这样即使发生违规,也不会蔓延到所有系统。” 这位教授说,加密和自动安全验证工具等资源也很有用。 还需要有意愿确保这些措施到位。 “问题是,即使发现了一些漏洞并对其进行了纠正,这些[安全]软件补丁有时甚至数月甚至数年都没有应用,TTC 似乎也是这种情况,”巴拉多斯说道。 “这意味着管理系统的人实际上可以识别这些漏洞[...],然后正确部署它们。” 这位教授继续说道,这是一个微妙的问题,需要各级政府提供细致入微的解决方案,但最终的建议仍然与几十年前相同。 “这就是我们大约 40 年来一直在提供的建议:安全不应该是事后才想到的,”他说。 “但这需要通过设计来实现,而不是事后才想到的。”
在这张未注明日期的照片中可以看到 TTC 标志。 来源链接: https://www.cp24.com/news/ttc-lacked-proper-measures-to-prevent-2021-cyberattack-尽管-internal-warning-years-earlier-reports-1.6947986 |
手机版
官方微信
