近日,日本信息处理推进机构(IPA)就1月底公布的2023年版“信息安全10大威胁”,追加公布了分析资料。现对该威胁内容、分析资料等进行简介,以供读者参考。1、2023年版“信息安全10大威胁”简析为了普及信息安全对策,IPA从2006年开始,从前一年发生的信息安全事故和攻击状况中选取不同的威胁手段进行排名,并公布前10名。2023年1月25日,IPA公布了“信息安全10大威胁2023”,此次公布的10大威胁是经IPA先行选择,再由信息安全领域的研究人员、企业的实务负责人等约200名成员组成的选拔会投票决定的。其中,“勒索软件攻击”连续3年成为“组织”方面威胁的第一名。1.1 “个人”方面威胁排名
钓鱼骗取个人信息;网上的诽谤、中伤、谣言;利用邮件、SMS等进行威胁、欺诈手段的金钱要求;非法使用信用卡信息;非法使用手机支付;非法应用程序侵害手机用户权益;伪装成虚假警告的网络欺诈;网络服务窃取个人信息;非法登录互联网服务;一键欺诈等造成的金钱损失。
1.2 “组织”方面威胁排名
勒索软件攻击;滥用供应链弱点的攻击;被标靶型攻击窃取机密信息;内部非法泄露信息;针对远程办公等新型办公方式的攻击;瞄准修正程序公开前的攻击(零日攻击);商业邮件诈骗;脆弱性对策信息公开导致的滥用;由于不慎导致的信息泄露;犯罪的商业化。
IPA在其已公布的最新一期年度业务总结、即2021财年(2021年4月1日至2022年3月31日)事业报告书中称,2021财年部分重点工作如下。2.1 安全对策的强化,针对新型威胁迅速采取相应措施针对供应链风险的增大,实施“SECURITY ACTION”(中小企业自行采取信息安全对策的制度,提升日本全境的中小企业安全对策效果) 。针对攻击的多样化和巧妙化,实施“网络信息共享倡议”(J-CSIP)(以官方机构IPA为信息中枢,旗下各机构之间实行信息共享,并采取高级的网络攻击对策。该倡议涉及重要产业、重要基础设施等15个行业、292家机构,支持企业之间的信息共享)。社会基础产业面临网络攻击风险,可能会引起实际损害。针对这种情况,实施“核心人才培养程序”(指对连接企业管理层和一线人员的核心人才,进行为期1年的培训)。2.2 对具备高级能力的IT人才进行发掘、培养,形成网络,扩大IT人才队伍推进革新性下一代IT社会实践:实施探索性目标业务(2021年度培养量子计算技术人才13名,以促进量子计算技术发展及社会应用)。针对学校教育中推进数字教育、数理及人工智能人才的需求高涨,实施IT许可证(IT passport)考试(考试人数达24.4万人,为往年最高,连续4年突破10万人)。强化实现society5.0的框架设计功能,例如IPA于2020年5月设立DADC(Digital Architecture Design Center),以期实现社会的数据合作和共享。企业推进数字经营改革:设立“DX SQUARE”(一元化信息发布网站,以期推进企业数字化转型(Digital Transformation,首字虽是DT,日本简称DX),提供相关信息供社会进行学习和实践);发布“DX白皮书2021”,综合概括推进数字化转型的信息。来源:学术plus