多伦多公车局网络未做好防范措施捱轰。
倡公共服务机构建立2层防护网络
OIPC报告说,尽管委员会安全部门发出了内部警告,但TTC并未做好应对2021年晚些时候发生的网络攻击的准备,导致超过2.5万名过去和现有雇员的个人信息泄露,包括雇员的姓名地址和社会安全号码 (SIN),这次攻击还摧毁了多个面向乘客的系统,包括TTC旅行计划应用程式、TTC网站和Wheel-Trans服务线上预订网站。
报告认为,TTC没能及时更新它的安全软件系统以及执行安全建议,使得这次网络攻击影响更加严重。OIPC调查员Jennifer Olijnyk说:「在调查过程中,我们发现很明显TTC没有适当的安全指导,并且在漏洞被利用情况下未能对安全软件进行更新。早在2018年TTC安全部门就曾发出内部警告,TTC没有足够措施来防范可能发生网络攻击的风险。」
这份于2018年7月提交给OIPC审计和风险管理委员会的报告,建议TTC「重新访问」当时使用的风险评估模型,因为它没有考虑到关键风险,例如网络攻击,也无法阐明此类风险的影响,并鼓励采用多伦多市府当时使用的标准化的风险评估流程,包括实施具体的对策和政策以降低违规风险等。
TTC发言人格林(Stuart Green)回应表示:「和其他大型公共服务机构一样,网络安全是TTC的首要任务,确保我们的网络、营运和个人资料的安全性和完整性是公司的关键优先事项」。
OIPC报告建议TTC调整其网络安全政策,以符合信息和隐私专员2019年发布的安全建议,这些建议包括对包含敏感信息的网络系统进行分段管理、采用端点保护工具、启用加密手段以及定期检查网络钓鱼恶意行为。
另一公共交通服务机构安省都市联通(Metrolinx)回应媒体提问表示:「已采取适当的保护措施以确保客户信息安全」,并「不断地」寻找加强其网络安全的方法,比如对所有PRESTO和GO电子票交易采用了加密技术,其内部员工系统独立于客户系统。
巴拉多斯博士(Diogo Barrados)表示,仅仅拥有网络安全模型是不够的,应该与其他安全措施相结合,比如建立2层安全防护网络,把雇员系统和公共服务系统分隔开,对具有敏感信息的网络采用分段管理,「你可以训练你的员工,但你不可能每周7天每天24小时在他们身边,所以我认为要实现网络安全,从高层到低层我们需要建立多层防御系统。」
Alex Wu, Local Journalism Initiative Reporter
