在全国国际机场的移民服务完全瘫痪 100 多个小时后,印尼政府承认其新成立的国家数据中心 (PDN) 遭受了网络攻击。
恶意 Lockbit 3.0 勒索软件加密了存储在中心的重要数据,其背后的黑客组织要求支付 800 万美元的赎金。
不幸的是,大多数数据没有得到妥善备份。
在撰写本文之前,印尼政府未能完全恢复至少 282 家受感染机构的数据。
这不是第一次,而且很可能也不会是最后一次。
印尼网民仍然清楚地记得 2021 年卫生部的 Covid-19 追踪应用程序遭到黑客攻击,以及 2022 年一名名为“Bjorka”的匿名黑客入侵国家机构和企业,泄露了数百万个人数据。
更糟糕的是,在最近的 Lockbit 攻击发生几天后,印尼武装部队战略情报局遭到入侵,其敏感数据被泄露到互联网论坛上。
在印尼黑客界,与私营企业相比,国家机构对自身数据的保护最为薄弱。
在日益数字化的世界,网络攻击显然是对国家安全的重大威胁。
印尼政府未能保护本国公民的在线数据,反映出该国网络安全治理极其薄弱和无效。
这使得印尼几乎无法抵御数字世界不断演变的威胁,数百万印尼网民极易受到不良分子的攻击。
此外,如果数字安全的整体状况仍然不确定,外国投资者将不愿意进入印尼,这是政府特别关注的问题。
根据国际电信联盟发布的《制定国家网络安全战略指南》,各国政府最高层必须设立主管网络安全的机构,提供指导、协调行动并监督网络安全战略的实施。
必须持续提供充足的资源(财政、物质和人力资源)。
此外,政府必须保证在开发最有效的网络安全能力以应对任何可能的威胁时资源使用的问责制和透明度。
五国如何实现关键基础设施保护方法的现代化
这些良好做法应该成为印尼政策制定者的参考。
然而,印尼的现实情况一直远非理想。
印尼的网络安全法规导致不同机构的职责分散,在预防网络犯罪方面仍然无效。
例如,缺乏专门的个人数据保护法 (UU PDP) 反映了长期存在的监管框架薄弱的情况,直到 2022 年,该法才终于在议会通过。
而自 2016 年首次提出以来,该法经历了多年的停滞。
即便如此,法律规定的措施,例如建立一个总体数据保护监督机构,仍未实现。
目前,印尼的网络安全治理主要由两个机构负责:信息通信部(Kominfo)和国家网络与密码局(BSSN)。
近年来,这两个机构的领导都是政客、警察和军官,他们没有信息技术方面的知识或背景。
他们缺乏数字事务能力,网络安全水平低下。
严重阻碍了机构间协调、有效的国家网络安全战略以及对灾难的迅速准确响应。
印尼当局仍在采用过时(或者说原始)的安全方法应对网络安全威胁。
例如,在 2022 年 Bjorka 案件发生后,政府专注于“追捕”黑客并将其绳之以法,就像处理普通的抢劫或盗窃案件一样,而不是评估导致此次入侵的数据保护中的制度和技术缺陷。
在议会就最新国家数据中心违规行为与信息通信部和国家网络与密码局举行的听证会上,人们清楚地认识到,监管执行不力、缺乏技术监督和人力资源不足导致许多机构未能正确备份其数据。
根据法律规定,备份用户数据是每个政府机构和私营企业的责任,由信息通信部和国家网络与密码局协助。
然而,机构和企业之间的协调不明确,导致许多不合规案件得不到处理。
让问题更加复杂的是,国家网络与密码局从一开始就没有充分参与国家数据中心项目的规划,尽管它名义上是数据保护的主要执行者。
因此,在最近的勒索软件攻击之后,政府承认许多印尼公民的关键数据无法重新获取。
这一灾难性事件必须被反思,作为印尼立即改善网络安全治理的严重信号。
首先,网络安全法规的制定、监测和评估必须以结构化协调的方式让所有利益相关者参与,从各级国家机构到拥有数百万用户数据的私营企业。
在国家层面,必须定期评估潜在风险,然后制定并推行全国性的灾难响应和恢复计划,以确保在未来发生事件时将用户数据和相关系统的损害降至最低。
此外,必须用在数字技术事务方面有经验的年轻一代取代那些占据与网络安全治理相关的战略职位的不懂技术的官员,尤其是信息通信部和国家网络与密码局。
应该给予技术专家更多空间,让他们直接影响决策过程并推动更进步的政策。
这样,未来的政策就可以通过提高对网络安全重要性的认识以及更适合应对数字环境中复杂事件的方法而得到强调。
观察人士一再提倡“择优任命技术精湛的机构负责人”和“发展印尼的网络安全队伍”。
分析人士也呼吁减少官僚主义和政治障碍,以改善利益相关方之间的协调。
然而,到目前为止,在高级职位上推行更多任人唯贤制度和改善跨部门协调方面尚未取得进展。
因此,印尼需要投入更大的政治意愿和强有力的协调来改革网络安全机构,提升其能力,并改善监管执法和监督。
否则,超过 2.7 亿印尼公民将仍然无法上网,印尼的数字主权状况仍将不确定。