人们还未从网络勒索病毒“WannaCry”的爆发中缓过神来,一款名为“Petya”的勒索病毒近日再次席卷全球,众多企业受到波及。联邦快递子公司TNT的运营就受到严重影响,其快递业务和通信系统一度中断,寄递速度有所减慢。联邦快递在一份声明中解释称:当前无法衡量服务中断造成的确切经济损失,但会尽快部署补救措施和应急计划。为保险起见,联邦快递选择将股票暂时停牌。
  在全球网络安全日益严峻的形势下,寄递企业应如何抵御网络攻击,避免遭受重大损失呢?全球富有经验的寄递企业又是如何做的呢?
  缺乏网络安全意识 美、澳邮政系统曾被攻击
  近年来,网络黑客盗用澳大利亚邮政商标的事件时有发生,后者为了自身的网络安全问题可谓频繁应对。澳大利亚邮政首席信息安全官克里斯汀·里昂表示,网络安全问题日益突出,黑客攻击的手段更多样化且更难防御。勒索软件是黑客主要的攻击手段之一。其通常打着澳大利亚邮政的名号隐藏在“运输确认”邮件的附件中,引诱成千上万的网络用户下载,随后借机获取用户社交媒体的使用权限,并通过封锁电脑数据向用户索取赎金。
  据澳大利亚竞争与消费者委员会统计,欺诈邮件在2015年给消费者造成的损失超过8万澳元。里昂认为,作为最受本国民众信任的品牌之一,澳大利亚邮政很容易成为攻击和伪装目标。“消费者对公司的邮件了如指掌,并且时刻期盼收到邮件。让他们点开假邮件是一件很容易的事。”
  同样受害的还有美国邮政。尽管为网络安全进行了一系列尝试和努力,但美国邮政还是在2014年的一场大规模网络攻击中沦为受害者。在这场攻击中,黑客不仅盗用了美国邮政的品牌,甚至还窃取了其近300万用户的个人信息,以及包括离职雇员和在职雇员在内的75万人的社保账号,可谓是一举攻克美国邮政的网络系统。
  在此次网络攻击事件后,美国邮政总监察长办公室随即发布报告,强烈谴责美国邮政的疏忽,并称其缺乏网络安全意识。报告指出,当时一个最主要的问题就是软件过期。经测试,美国邮政近半数软件已不再享有开发商的维护,这就意味着没有任何办法来弥补安全漏洞。美国邮政还存在网络安全团队人手不足、员工缺乏培训的问题。
  丰富网络防范手段 多举措为安全漏洞“打补丁”
  寄递企业在面对网络攻击时,不能一味地躲避与防御,而是要通过各种有效手段积极应对。
  “多年以来,美国邮政及其客户一直是这些网络黑客攻击的目标。”面对恶意钓鱼邮件,美国邮政代理首席信息安全官兼数码解决方案副总裁格雷格·克拉布表示,美国邮政已经引入两套邮件验证系统——发件人策略框架和域组密匙确认邮件。这两套系统能够帮助谷歌、雅虎等邮件服务供应商识别美国邮政的邮件与钓鱼邮件。
  同时,美国邮政发起了名为“网络安全”的综合培训项目,为20万使用电脑办公的员工和承包商提供网络安全意识培训。作为培训的一部分,员工每个月都要接受“钓鱼邮件”测试的考验。“公司每个月测试1万名员工,经过多次培训后发现,上当者的数量明显减少。如果有人上当,公司会提供额外培训并再次进行测试。”克拉布说。除了上述措施外,美国邮政最近又在官网上发起了一项名为“消费者面面观”的活动,培养客户预防网络攻击的意识。
  澳大利亚邮政同样在努力培养公众的网络安全意识,通过官网和社交媒体渠道告诫客户要预防勒索软件,并为受害者提供有效建议。“让客户了解网络攻击并采取实际行动保护他们,是公司义不容辞的责任。”里昂说。
  利用科技消除隐患 打破隐私与安全间的平衡
  如今,数据的重要性不言而喻。无论是对于政府部门、企业还是个人,数据保护都十分必要。
  为了保护用户数据免于被黑客攻击,美国邮政专门组织员工进行培训,教他们如何给信用卡号等敏感数据进行加密及如何避免在硬盘设备上存储私密信息。“但是,必须打破隐私和安全之间的平衡,才能保障系统的健康和安全。”克拉布说。
  克拉布举例说,每年约有20%的美国人迁徙,社区邮局需要追踪这些用户的数据。对此,美国邮政设计出一个既注重隐私又能共享通信信息的系统。“公司并不是向邮件服务供应商提供一个存储姓名和地址的数据库。而是要对这些信息加密,寄件人必须提供收件人的姓名才能获取新的收件地址。这个系统称得上是一笔国家财富。”
  除了外部窃取数据威胁,寄递企业还必须应对内部隐患。为此,美国邮政使用一款预防数据损失的软件来阻止员工通过U盘或其他移动设备拷取内部敏感数据。
  然而,网络安全咨询专家罗布·普里查德认为,技术手段仅仅是一种辅助,人工管理才是根本。企业应扪心自问,对员工的监督和关怀到位吗?如何对待有不满情绪的员工?只有做到这些,才能尽可能阻止内部窃取敏感数据事件的发生。
  业内人士表示,在当今全球网络安全日趋严峻的背景下,寄递企业更应取长补短,利用新的网络技术并不断提高员工及用户的网络安全意识,从内外两方面抵御网络攻击。