当前,新型冠状病毒在全国蔓延,引起全国甚至全球高度重视,全国人民团结一心共同抵抗疫情。但同时,国内外攻击者利用群众对新型冠状病毒的忧虑,进行病毒传播、网络诈骗等恶意攻击,一方面在疫情攻坚阶段的特殊时期,保障医疗物资生产和各地医疗业务系统的连续性、稳定性也将变得更加重要,另一方面随着逐步复工复产,保障远程在线办公,做好复工复产中的网络安全风险防范变得尤为重要。
一、疫情防控阶段国内外网络安全事件分析
在国外,利用热点信息发送钓鱼邮件、传播木马病毒获取用户敏感信息安全事件增多。1月28日,安全公司Mimecast发现了一起利用新型冠状病毒的网络钓鱼的活动。在该次攻击事件中,攻击者利用邮件进行钓鱼攻击,要求收件人“仔细阅读所附文件中有关冠状病毒传播的安全措施”,并强调这些安全措施的重要性。用户下载打开含有恶意代码PDF文件,就会感染病毒,攻击者利用这些病毒收集窃取用户凭证。1月31日,IBM X-Force和卡巴斯基发布报告指出,攻击者以日本残障福利服务机构的名义发送电子邮件在日本传播Emotet木马。该恶意软件通过发送含“预防冠状病毒措施”“日本多地发现冠状病毒患者”等虚假信息的邮件实现攻击,诱导读者打开带有恶意宏的Word文档附件,进而感染用户电脑。Emotet木马可用于窃取用户电脑金融相关信息,一旦医疗业务系统被感染,将造成医院患者就诊信息、个人病史、家庭病史等关键信息大规模泄露。在国内,网络安全事件造成的影响主要包括以下三个方面:一是假借疫情防护工作收集用户个人信息,实施网络诈骗案件急剧上升。随着全民关注度的不断提高,一些不法分子开始利用肺炎疫情实施诈骗。截至2月16日20时,全国公安机关侦破利用疫情实施电信网络诈骗累计4191件,累计涉案金额超过8910万元。不法分子搭建各类虚假官方网站,冒充慈善或民政部门骗取爱心捐款,或利用“航班/列车因控制疫情被取消,办理退改签可获赔偿”等相关疫情信息套取受害者银行卡号、密码、手机验证码等信息进而盗取受害者个人财产。工信部网络安全管理局2月5日发布预警提醒,警惕诈骗分子利用新型冠状病毒肺炎疫情实施诈骗,并对疫情期间各类电信网络诈骗套路进行了汇总分析,包括购物类诈骗、退改签/退费诈骗、冒充类诈骗。二是国外非法组织利用勒索病毒、APT攻击等方式企图破坏我方医疗物资生产系统和医疗业务系统的稳定运行。2020年春节期间,某药品经营企业遭遇勒索病毒攻击,企业多台服务器被加密,影响业务开展。该药品经营企业为保证业务运行,被迫缴纳酬金,结果仅部分文件恢复。2月5日,国内某安全企业捕获了利用疫情题材做诱饵的针对医疗领域的攻击,该攻击疑似来自印度APT组织,攻击者利用肺炎疫情相关题材作为诱饵文档,通过邮件投递攻击,并诱导用户执行宏文件,在目标主机下载后门文件,实现对医疗业务系统的破坏,干扰医院等医疗机构的正常运转,严重影响疫情防控。三是编制虚假信息进行广泛传播,引起社会恐慌。1月26日,国内外发生了多起利用公众对新型冠状病毒的恐惧心理以及对相关信息的急切需求,制作并发布“不专业的”甚至“虚假的”内容,造成社会恐慌的事件,包括“比尔和梅琳达·盖茨基金会资助了新型冠状病毒的研发”“新型冠状病毒为某国投放生物武器”等新型冠状病毒的阴谋论及“新型肺炎将导致6500万人死亡”“微信群转发肺炎疫情虚假信息会被封号”等虚假信息一度在美国版抖音TikTok、微信等互联网媒体及内容平台大规模传播,加剧国内外群众对此次疫情的恐慌。在疫情防控的关键阶段,推动互联网企业及运营商联合对各大门户网站、社交媒体的虚假信息严格监管和技术防范拦截工作,可保障有用信息的高效透明传播,促进产业健康发展和社会安全。
二、疫情防控阶段网络安全风险分析
(一)在线远程办公网络安全风险加剧受疫情影响,全国大部分地区的企业都延后了复工时间,为了企事业单位的正常运转,大多数单位选择应用钉钉、企业微信、华为云WeLink等远程办公软件在线办公,以减少集中办公带来的疫情传播风险,数字化协同办公领域迅速引发全民关注。2月3日,全国上千万企业、近2亿人在家办公。尽管各家协同办公平台先后发布远程办公指南,并通过云计算技术快速扩容,但在早高峰时段,短时间涌入的巨大流量,钉钉和企业微信等协同办公平台均出现过不同程度的短时间卡顿、服务拥堵不稳定等情况。同时,远程办公操作,操作失误、数据泄露的风险加剧,需引起进一步重视。(二)疫情防控相关平台、数据安全风险提升随着疫情防控进入攻坚阶段,疫情防控国家重点医疗物资保障调度平台、新冠疫情网络直报系统、各省统筹区域全民健康信息系统等综合性平台在支撑和保障疫情防控工作方面起到了关键性工作,确保各支撑类平台、卫生健康平台和数据的可用性、完整性和机密性等对于疫情防控工作尤为关键。(三)医疗业务系统和关键物资生产系统稳定运行成为关键勒索病毒攻击、拒绝服务攻击及APT攻击事件等严重危害医疗信息系统安全运行。疫情防护攻坚期间,各地医疗业务的连续性和稳定性也将变得更加重要。全国各地医疗卫生网站、系统仍然不断受到各种侵扰。挂号、医疗诊断、危重病人护理等业务均需依赖信息系统安全稳定运转,一旦遭受勒索病毒、拒绝服务攻击等陷入停顿,必将对疫情防护工作造成极大影响。
三、近期网络安全工作建议
(一)及时汇总官方信息,确保来源可靠在抗击“新冠肺炎”疫情期间,多数人通过网络了解疫情传播情况,很多机构通过各类网络应用开展疫情防控工作。建议汇总各级卫生健康行政部门官网官微、服务链接并及时发布,便于获取官方公布的相关疫情防控和诊疗服务信息,确保信息来源可靠,不传谣不造谣。(二)做好疫情防控期间网络安全保障工作重要医疗物资生产企业、原材料供应生产企业等,建议在保障生产的同时,参照《工控防护指南》要求,明确网络安全责任,重点做好边界安全防护、物理安全防护与远程访问安全等措施。避免遭受勒索病毒、恶意攻击等影响生产系统稳定运行的网络安全事件滋扰,对重要数据和文件进行定期备份和异地备份,加强网络安全应急处置防护工作,为医疗物资持续供应提供安全支撑。(三)加强网络安全意识提升和知识宣传加强网络安全教育,开展远程办公安全宣传和培训工作。不要打开来历不明的电子邮件或下载不明来源的文件,及时更新杀毒软件程序并保证随时开启,防范利用疫情传播恶意程序或钓鱼网站。在通过网络传送文件时,最好采用文件加密的方式进行网络传递。
作者简介
_作者简介:赵冉 国家工业信息安全发展研究中心检查评估所 工程师 主要研究领域为网络安全风险评估、工业信息安全评估与检测。联系方式:zhaoran@cics-cert.org.cn