为了抵御日益复杂多变的网络安全(网安)威胁,新加坡政府持续通过新加坡网络安全局(CSA)推动相关领域解决方案的发展,建立起可持续性的生态系统,去年3月成立的首个网安企业孵化器就是在这样一个大背景下催生的产物,至今年6月已成功吸引来自全球将近100家创企申请。信息技术研究和分析公司Gartner也预计,新加坡今年整体网安支出增速将超过全球平均水平。
(此文刊载在《时代财智》 2019年7月/8月刊 )
文:史特芙
今年新加坡整体投入到信息安全的支出预计成长10%,从去年的10.5亿新元增至11.5亿新元;全球整体投入到信息安全的支出则预计增加8.7%至1241亿美元(约1697亿新元)。另外,所谓网安威胁不分国界,国际防毒软体生产商McAfee也预测,全球每年因网络犯罪所造成的损失将达到4500亿美元(约6155亿新元),相当于每日损失高达12亿美元(约16亿新元)。
新加坡政府因此认为,在先进的安全管理服务、先进的安全咨询服务和安全产品开发等专业领域中具备进一步增长的庞大潜力。在2019年财政预算案中,新加坡政府宣布给信息交流媒体发展局(IMDA)拨款4.54亿新元充作其营运开销,以持续带领新加坡朝数码化转型;另外,也给新加坡网络安全局(CSA)拨款5611万新元,为新加坡打造一个弹性及值得信赖的网络环境。
同时,新加坡财政部在发表2019年财政预算案时,也将“数码防卫”(Digital Defence)列为“全面防卫框架”中的第六⽀柱。现有的五大支柱包括心理防卫、社会防卫、经济防卫、民防防卫和军事防卫。财长王瑞杰(Heng Swee Keat)说,新加坡虽贵为全球最安全的城市之一,高度网络化的本质虽增强了人与人、企业与企业之间的互联互通,但这同时也可能会被有心人士利用来作为破坏和分裂社会的武器。
积极孵化网安创企
去年3月,获得IMDA和CSA支持、由新加坡国立大学(NUS)旗下企业机构(NUS Enterprise)和新加坡电信集团(Singtel)旗下风险投资基金Singtel Innov8联合创办的首个网安企业孵化器Innovation Cybersecurity Ecosystem at Block71 (简称ICE71),就是旨在培育和孵化投身网络安全的初创企业(简称创企)。
今年5月8日,ICE71举办的第二届创企演示日(Demo Day)共有10家创企被安排向来自超过150家潜在投资者和网安业者进行提案(pitching),以寻求投资和商业发展机会;他们分别来自新加坡、印度、土耳其、越南、英国和美国。
Singtel Innov8的创新和合作伙伴关系部门总监Paul Burmester指出,自去年成立以来,ICE71孵化计划Accelerate训练营已吸引了来自全球将近100家创企的申请。经过严格筛选,一共两届的训练营已经成功培训了16家具备潜力的创企。他说,无论是个人或企业,只要你有使用电子产品,你都曝露在个资外泄的风险中,所以说网安产业拥有庞大的发展潜能。就亚洲网安产业而言,现在只是一个开端。
“从数年前开始,我们已有了探讨设立网安新创企业生态系统的想法,那是因为比较美国、以色列和英国这类新创企业生态系统发展已相对完善的国家,亚洲在这方面的发展却相对匮乏。为此,我们希望为亚洲区域设立一个支持网安产业发展的完善生态系统,协助投身在这一产业的创企设立起一个社群网络,除了提供他们所需的支援和辅导,也为他们提供潜在接触其他合作伙伴、投资者、目标客户群和政府机关的平台。”
ICE71引入总部位于英国伦敦的网安创业孵化加速器Cylon的培训课程和师资,协助网安创企确立商业模式和协助他们扩展亚太市场。具体实施方面,他们通过3项计划来进行培育,包括为期一周的前期密集Inspire训练营,协助个人验证本身的网络安全概念、可行性和市场接受度。接着是为期3个月的孵化计划Accelerate,协助创企的早期产品达到特定产业的技术和商业需求,获遴选参与的创企也将获得ICE71投资3万新元。最后,ICE71也为准备好进入市场的创企特设共享办公空间,还可从中获得导师指导等支援,以在新加坡和亚太地区发展他们的网安事业。
《时代财智》也和两家参与了上述孵化计划的创企进行了访问,他们分别是拥有15年专业骇客经验的GuardRails创办人Stefan Streichsbier,以及在密码学领域拥有超过20年丰富经验的oneKIY创办人许湘舸(Desmond Hsu)。
Stefan Streichsbier指出: “一般来说,新加坡和东南亚在网安方面落后欧洲和美国好几年,但这反倒提供了很好的商业机会。同时,网络安全新技术和解决方案持续推陈出新,这使得具有前瞻性的公司能够采用最新的安全技术来保护他们的业务。而新加坡面临着与任何其他国家、政府或企业相同的威胁,特别是新加坡放眼成为智慧国,以及越来越多的产业加入数码转型的行列,高度网络化和信息化也使得新加坡受到的网络攻击次数日益增加。”
以去年新加坡史上最严重的网袭事件新加坡保健服务集团(SingHealth;简称新保集团)为例,他说,即使在2019年,十多年前的网袭手法迄今仍然被使用并成功造成了威胁,基本的防范措施至今没有被建立起来,导致了这些事件的重复发生。
“不管导致网袭的缺口是什么,理由不外乎是配置不安全或未打补丁(unpatched )的系统及应用程序,再加上把关的网安人员缺乏识别攻击的意识,并做出即时及合适的应对措施。”
新保集团事件是在去年6月底至7月初之间发生,导致约150万名曾到该集团旗下医院或诊所看病的病患个资被骇客窃取,约16万人的门诊配药记录被泄露,当中包括新加坡总理李显龙和数名部长的处方记录。经独立委员会调查发现,尽管该集团此次攻击来自国家级的高级骇客集团组织,但是该集团员工缺乏安全意识,加上系统存在安全漏洞是导致此次跨国网袭得以得逞的主因,而今次其实是一次可以被提早发现并预防的网袭事件。
应减少人工干预
Stefan Streichsbier认为,建立基本的网络意识、提高所有相关领域人员的技能、明智地投资在真正消除关键问题的安全技术上,并通过自动化和人工智能来减少过多的人工干预,都是新加坡可以采取的措施以消除网安问题。为此,他利用自己多年当骇客的丰富经验创办了GuardRails,协助检测源代码(source code;即计算机语言指令)中存在的安全弱点的平台。
许湘舸也认为,网安是技术人员和用户共同的责任,但越是安全的系统就如同家里安装了10道门锁,会让系统用户不胜其烦,并认为这些安全措施给他们带来许多不方便,每次进入家里都需要打开9道门锁,毕竟安全和方便往往是相悖的。为此,大部分用户就会尝试越过所有繁琐的安全防线,最后只上了一道门锁,其余9道门锁变得虚有其表,以致骇客一旦攻破第一道防线,便如进入无人之地,轻易攻进了系统的核心。
他说,让每个人手上都拥有属于自己的密钥,由各别部门特别是重要部门自行为自己需要保密的信息加密负责,一旦某个部门出现信息泄露也可以即时查出问题的根源。随着云端存储的普及化,越来越多消费者开始将信息或数据存储到云端上,相当于把信息或数据的安全保护责任交付他人手上,云端供应商的系统一旦被骇客入侵,用户的资料将被骇客一览无遗,因此密钥是将控制权交回到用户的手上,达致双层保护的功效。
许湘舸之前是一名工程师,刚开始他主要服务对象是国防等政府部门,同时也为其他公司设计加密技术和相关系统,并没有生产自家产品。随着oneKIY的诞生,他已向全球38个国家注册专利,并计划在半年内推出市场,目标放眼云用户和高端用户,尤其是拥有较多重要和敏感数据的用户如名人和政治人物,因为数据一旦泄露对他们将带来严重影响。
另外,总部设在新加坡的Uppsala Security,其首席科技长Nobel Tan也指出,新加坡政府和学术界在网安领域投入了大量的资源,反映他们致力发展网安这一块,然而研究的重点大多集中在研究和理论上,在实际产品开发方面并未看到重大的进展。群体智能平台或许是让网络更安全的下一步骤,让终端用户能够主动携手对抗骇客。该公司是世上首个利用区块链去中心化特点建立群体威胁情报平台的公司,旨在为个人和组织提供网安解决方案,保护他们宝贵的加密货币资产免受恶意威胁和攻击。
Nobel Tan也认为,采用无现金支付系统将有助降低网安风险,因为无现金支付需要身份证明,分类账簿(ledger)可以留下可供追踪的线索。为此他非常鼓励零售业者考虑支持或采用无现金支付,以作为改善网络安全的其中一种方式。
随着网络的普及化,骇客手法尽管层出不穷,但是市场网安技术同样推陈出新,网袭的成功许多时候并非安全防御措施做得不足,人为疏失往往才是网络安全中最脆弱的软肋。