更多网络犯罪分子在疫情期间“趁火打劫”,看准安全漏洞发动勒索软件(ransomware)攻击。受害方若选择交上赎金以换取资料,虽然不会直接构成犯罪行为,却存在一定风险。

“个人资料保护委员会的裁决经常揭示,人员是资料保护课题上最薄弱的环节。因此,让员工参与网络卫生(cyber hygiene)的课程非常重要。”

在特定情况下,支付赎金也可能促成其他犯罪行为,连支付方也牵连其中。相关法律包括恐怖主义(取缔资金)法令,以及禁止协助他人保留、转移或使用赃款的贪污、贩毒和严重罪案(没收利益)法令。

本地勒索软件案也呈增加趋势。新加坡网络安全局今年7月公布的《2020年新加坡网络概况报告》显示,网安局去年接获89起勒索软件的报案,比2019年的35起激增154%。大部分受害者为中小企业,涉及的领域包括制造业、零售与医疗等。

有鉴于此,两人建议从技术、机构和人员层面应对勒索软件攻击的风险。

梁清龙和赵资胜补充说,一般而言,企业若经评估发现数据泄露事件须上报给PDPC,得在三天内这么做。应注意的是,就算支付了赎金,也不代表无须履行通报当局的义务。

谷歌今年10月发布的《全球勒索软件活动报告》,审查了来自140个国家的8000万个勒索软件样本,发现全球受勒索软件影响最严重的国家当中,新加坡排名第五。

Dentons瑞德律师事务所(Dentons Rodyk & Davidson LLP)知识产权与科技业务部高级合伙人梁清龙和赵资胜联合受询时解释,我国法律没有明确规定向这类勒索分子支付赎金即属违法,但当局并不鼓励这么做。

本期《说法识法》邀请Dentons瑞德律师事务所(Dentons Rodyk & Davidson LLP)知识产权与科技业务部高级合伙人梁清龙、合伙人赵资胜,以及品诚梅森(Pinsent Masons)律师事务所合伙人陈川首,讲解企业和个人在应对勒索软件攻击时如何保障合法权益。

梁清龙和赵资胜指出,居家办公安排意味着更多员工使用住家网络处理公事。对多数企业而言,它们在采取资讯通信科技(ICT)安保措施时,更须平衡适用性、成本与网络安全方面的考量。

两名律师也提醒,受害企业或个人虽可循法律途径求助,但最重要的是落实预防措施,并做好准备在必要时应对勒索软件攻击,例如培训员工辨别可疑迹象。

品诚梅森(Pinsent Masons)律师事务所合伙人陈川首指出,经手犯罪收益或资助恐怖分子属违法行为,由于勒索分子都是匿名发动攻击,支付方无法确定钱款不会落入这类犯罪分子手上。

Dentons瑞德律师事务所高级合伙人梁清龙(左)和合伙人赵资胜(右):受害企业或个人虽可循法律途径求助,但最重要的是未雨绸缪,做好准备在必要时应对勒索软件攻击。(Dentons瑞德律师事务所提供)

冠病疫情下,居家办公促使更多企业把运作转至线上平台,却也为犯罪分子提供了更大的潜在攻击面,企业遭受这类攻击的风险也更高。

至于个人,则没有必须上报给PDPC的相应要求。尽管如此,个人和企业都可向网安局的电脑紧急反应组(SingCERT)作出举报,若勒索分子可能涉及违反电脑滥用法令,也可报警。

他以美国为例说,根据美国国库的指导,付款给无法确认身份的人相当于协助处理这类非法款项。“虽然这是美国的法律,不是新加坡的,但我认为这是非常谨慎的做法。”

新康当时发现一个主要用来备份数据的伺服器被勒索软件加密,立即停止使用这个伺服器。外聘的网安公司检查后发现,受影响资料虽然被加密,但没有被复制或者盗出的迹象。

电邮钓鱼是最常用的攻击手段,收件人点击链接或下载文件后,勒索软件就会侵入电脑系统和网络。其他攻击方法包括远程操控另一台电脑的屏幕、利用受病毒感染的网页和USB闪存盘等。

梁清龙和赵资胜说,法律没有这样的针对性条文,但要是知情并且有目的地把恶意软件发给他人,则可能触犯滥用电脑法令。

受害企业或个人 落实预防措施最重要

鉴于网络安全形势持续演变,企业应定期检讨防范措施,例如确保存放着大量个人资料或高度机密数据的伺服器端口,都不对外开放。

品诚梅森律师事务所合伙人陈川首:经手犯罪收益或资助恐怖分子属违法行为,但勒索者都是匿名发动攻击,支付方因此无从说明钱款不会落入这类犯罪分子手上。(品诚梅森律师事务所提供)

这是因为就算付了赎金,也无法保证一定能够取回资料,还可能变相鼓励勒索分子再次向“听话”的攻击对象下手。

陈川首也说,即使勒索者没有移除资料,而是把相关资料“锁上”,公司的运作仍有可能受影响。在这种情况下,当局所考虑的问题在于公司是否采取了一切合理预防措施,来保护这些资料。

工作期间,小明看见电脑界面弹出一则信息,称电脑里的档案已被加密,若想取回得立即用比特币支付赎金。小明赶紧查看重要档案,却打不开。他想起几天前收到一封电邮,提示他点击链接更换密码,他并未多想就照做,或使勒索软件有机可乘。不知所措的小明非常着急,到底该不该尽快交付赎金?必须通报有关当局吗,否则会有什么后果?

在技术方面,企业应落实有力的预防措施,例如定期审核可远程操控桌面的连接、记录对异常活动的审查,以及要求高级别的验证方法等。

梁清龙和赵资胜早前就此案撰文指出,就算资料没被盗出,也未必意味着企业不算违反个人资料保护法令,PDPC会考虑企业整体落实的安保措施。

根据个人资料保护委员会今年5月发布的裁决,新康因为这起事件被罚款3万5000元。

保护个资不当 企业可被罚款

陈川首指出,如果攻击牵连至少500人的个人资料,并且会构成重大伤害,企业就必须通报至PDPC,涉及重大伤害的话,还应通知所有资料当事人。

2019年12月,提供培训课程的新康国际卫生科学院(HMI Institute of Health Sciences)电脑系统遭勒索软件入侵,导致约11万名学员和约250名员工的资料被加密,受影响资料包括姓名、身份证号码和财务信息等。

在机构和人员方面,则应确保制定应对勒索软件攻击的管理方案,也尽量让员工区分工作和私人电邮账号及设备,并安排他们接受辨别钓鱼电邮的培训等。

既然勒索软件通常伪装成正当资讯,若是在不知情的情况下把这类恶意软件传给其他人,自己是否也会惹祸上身?

企业也应向网安局呈报,以及在适用情况下知会行业监管当局,如新加坡金融管理局和资讯通信媒体发展局等。

即使在遭受勒索软件攻击后,资料没被盗出,企业仍可能因为没有做出合理安排来保护个人资料,面对罚款。

企业若遇上涉及个人资料的勒索软件攻击,在特定情况下必须及时上报给个人资料保护委员会(Personal Data Protection Commission,简称PDPC),否则可面对罚款。

从技术机构和人员层面 应对勒索软件攻击风险

涉及500人以上个资勒索 企业须及时上报PDPC

“综合种种考量,受害的一方或难以讨回公道,因为肇事者的身份一般无从辨别,也无从找到他们所在的地点。就算找到,他们也可能身处在执行上有难度的司法管辖区。”