Tag: 网络安全

【加拿大都市网】多伦多警方周二逮捕一名涉嫌藏有儿童色情物品的多伦多男子。警方提醒家长和监护人，必须站在第一线保护儿童免受色情犯罪侵害。 多伦多警方反儿童性剥削犯罪组在对一宗持有儿童性虐待材料案件展开调查后，于周二(29日)，对多伦多市巴佛斯街夹戈兰肯街(Bathurst Street and Glencairn Avenue)一处民宅执行刑事搜查令，逮捕44岁多伦多男子克雷格(Jeremy Craig)，并控告他两项涉嫌藏有儿童色情物品、一项涉嫌获取儿童色情物品，以及一项涉嫌提供儿童色情物品罪名。他于本周二在北约克芬治大道安省法院受审。 多伦多警方指，家长和监护人是保护儿童不受网络及电子设备性犯罪侵害的第一道防线，所以必须熟悉和了解电子技术和社交软件的操作，及其可能给孩子带来的风险。家长可以与孩子签定“手机使用协定”，制订家庭规则，要求孩子只在家中的公共区域使用电子设施，而不能在洗手间或睡房使用。 装设安全软件可减风险 家长可以帮助孩子做出适合于他们年龄的社交软件安全设置，保障孩子使用最严格的隐私保护设定，不能与其他人分享个人讯息，包括照片及密码。家长要监督孩子的网上活动，控制他们使用电脑的时间和范围。孩子只能使用能保障其安全的搜索引擎，如kidssearch.com及kiddle.co ，或使用家用电脑安全软件，以限制孩子可浏览的内容。 家长应告诫孩子，网络上的陌生人与现实生活中的陌生人一样。不要在网上与任何现实生活中不认识的人交谈或分享个人讯息。同时，也要教导孩子有关网络上的危险和电子足迹，以及在网上看到不适合及非法内容时要如何应对。 家长还要留意孩童是否有受到网上引诱或陷入麻烦之后的反常行为，比如刻意隐藏其网上活动，或显得沉默寡言、担心和抑郁等。对上述案件知情者可致电多伦多警队416-808-8500，或拨打灭罪热线及透过其网站www.222tips.com，提供线索。

【星岛综合报道】加拿大网络安全中心(Canadian Centre for Cyber Security)发布公告，警告加拿大关键基础设施的运营商注意并采取措施减轻俄罗斯国家支持的网络威胁活动。 通信安全机构（CSE）通过加拿大网络中心发出警告，称包括俄罗斯支持的参与者等外国网路威胁活动正蠢动着，针对加拿大关键基础设施网络运营商的信息科技进行攻击。 该公告援引美国和英国的合作伙伴的话，敦促运营商做好准备，将关键基础设施的组件和服务，与互联网和内部网络隔离开来。在使用工业控制系统或操作技术时，需对手动控制进行测试，以确保网络处于无法使用或不受信任的情况下，其关键功能仍然可以运行。 CSE还警告相关企业和组织应提高警惕并加强现有的安全措施，包括修补漏洞、启用日志记录和备份、以及部署抗病毒软件。呼吁任何机构或企业将可疑或恶意的网络活动通知网络安全中心。 随着俄罗斯和乌克兰之间的争端升级，包括美国、加拿大和英国在内的北约盟国，积极参与并试图缓解俄罗斯全面入侵和报复乌克兰的任何举措。 CSE并重提了2020年发布的国家网络威胁评估报告，该报告直接将来自俄罗斯、中国、伊朗和朝鲜的政府资助之网络攻击行为列为“对加拿大最大的战略威胁”。 图：CSE v01

【加拿大都市网】新冠病毒除了影响全世界人的健康，原来也间接令全世界的电脑用家将储存电脑内的资料暴露，让黑客有机可乘。 不少习惯用Chrome和Microsoft Edge记下密码，此举便不用每次登入都得重新输入，一般也认为很安全。但专家表示，在家工作的民众如果把密码储存在网络浏览器，很容易成为黑客的目标。 《纽约邮报》（New York Post）报道，IT研究人员警告，不要在任何浏览器中使用这类储存密码的功能，因为最近发生了危及一家公司的安全漏洞。 受到新冠疫情影响，英国和美国许多员工被迫在家工作，却因而被犯罪分子趁机利用。据防毒软件公司Ahnlab，有一名远端上班的员工利用VPN帐户登入公司内部网路，结果被黑。 这人在与其他人共享的装置上工作，全然不知该装置已经感染了窃取讯息的恶意软体Redline Stealer。 这个恶意软件会窃取敏感资讯，像是访问各种网站的密码，包括登入公司内部网站的VPN帐户。3个月后，黑客就借此入侵，并窃取该公司机密商业数据。 更糟糕的是，就算是电脑已经安装防毒软件，这个恶意软件依旧能够绕过它。Ahnlab表示：“虽然把密码储存在浏览器的功能非常方便，却有在遭到恶意软件感染时泄露帐户讯息的风险，建议用户不要使用，只使用来源明确的程式。” 据悉，Redline Stealer价格十分低廉，只需要150美元（约190 加元）就能买到，而且容易在暗网取得，也因此很难把事件追溯到特定组织。 这个恶意工具在2020年3月，也就是疫情刚开始爆发时首次出现。在疫情期间，诈骗案件层出不穷。数以百万计民众成为疫苗通行证（COVID Pass）骗局的目标，被骗取金钱和敏感资讯。 图片：Getty Images T09 【看星岛＊知天下】请下载“星岛新闻(加拿大版)”App： iPhone：https://apple.co/2IBi812 Android：https://bit.ly/2Pe8anu

【加拿大都市网】一项新的民意调查表明，去年面临勒索软件攻击的加拿大公司中，有近70%的公司按照要求支付了费用，以避免停机、声誉损害和其他成本。 加拿大互联网注册管理局（CIRA）年度网络安全调查说，17%的公司说他们去年受到了黑客攻击。 超过三分之一（36%）的公司表示，由于越来越多的人在家工作，他们已经推出了新的安全措施，以应对来自黑客的更大压力，而一年前有29%的公司这样说。 在接受调查的510个安全专家中，几乎所有的人（95%）都说至少有一些新的保护措施将保持永久性，而64%的人支持立法禁止支付赎金要求。 加拿大已经面临一些高调的勒索软件攻击，影响到医院、加拿大皇家骑警分队和主要能源管道。 这项在线调查是在7月和8月进行的，对象是拥有50至999名员工的公司或组织。该调查结果是在周二开始的MapleSEC网络安全会议之前发布。 CIRA网络安全和DNS服务总经理Mark Gaudet表示:“感觉就像疫情迫使10年的网络安全应用在大约10周内发生，"。 “重心转向在家办公和员工使用自己的设备，确实增加了企业面临的安全威胁的数量，坏人尽其所能地利用这种情况。”(加通社，都市网Rick编译，图片来源加通社)

  【加拿大都市网】在新冠疫情期间，市民通过使用二维码（QR Code）查看餐厅的线上菜单，变得很普遍。隐私和网络安全专家表示，顾客亦应了解这可能会收集了他们的个人数据。 鉴于一些餐厅老板表示，电子菜单具较高的成本效益，因此即使在新冠疫情得到控制之后，他们也可能会维持使用二维码菜单。 渥太华的隐私律师摩尔斯 (Dustin Moores) 表示，收集客户数据的并不是二维码本身，而是当您在手机上扫描二维码时，它很可能会将您带到到餐厅的网站或餐厅正在使用的网络服务提供商。” 因此，这可算就是一种营销手段，因为透过网络，可以直接收集有关您的行为和偏好等的资讯，之后可以更有效地向你销售产品。 摩尔斯说：“例如顾客之前曾点了凯撒沙拉；那么当您再去光顾时，凯撒沙拉就会放在餐牌的最前。而且餐厅还可以利用收集到的信息向顾客追加销售，例如建议顾客在沙拉中加入鸡肉。它还可能会试图通过为您上次享用的菜肴，提供折扣来影响您的选择。” 摩尔斯表示，二维码也很可能会将您带到一个使用第三方cookie的网站，可用于跟踪您的浏览网站的习惯。假设您去过一家匈牙利餐馆，那么该地区的其他匈牙利餐馆也可能会在网上向您宣传。 摩尔斯说，他认为使用二维码最大法律担忧是同意问题。餐馆跟加拿大的其他所有企业一样，也受隐私法约束。因此企业在商业活动过程中收集、使用或共享个人信息时，都需要征得人们的同意。 瑞尔森大学（Ryerson University）领导力实验室技术、网络安全和民主政策负责人、网络安全专家史蒂文斯（Yuan Stevens）表示，与二维码相关的安全问题仍然是“相当假设的”。她说：“我在加拿大还没有发现任何二维码被用于窃取数据或侵犯隐私的案例。但我也认为，当技术无处不在时，我们也应该注意安全的问题。”她又提到，特别要注意黑客组织，会否利用网上科技为大家带来隐私和安全的问题。 对此，史蒂文斯特别提醒大家要做好网络保护措施。她指出，用于避免网络钓鱼和其他在线诈骗的相同原则，通常也适用于使用二维码。她说，不要通过电子邮件或电话，将敏感信息提供给不受信任的来源，同时也要小心点击的内容或者连结。 V10

【加拿大都市网】本周在多伦多大都会会议中心，有8名不在优先名单上的人注射了COVID-19疫苗。原因是在网上预约登记的链接被“错误地分享”了。 市长庄德利周三与记者交谈时证实了这一错误。 他说，最终在不该接种疫苗的时候接种了疫苗的人是“大体上在医疗领域工作”的人，但并不是本应接种疫苗的一线医护人员。 “这是这两天（诊所运作）的教训之一，照理该有一些保护措施，比如密码，所以链接不能共享，”庄德利说。“我不怪那些拿到链接的人，有人说‘你有这个链接，现在你可以去报名预约了’。他们怎么会搞得清楚呢？” 大多伦多会议中心的疫苗接种诊所是安省第一个在医院环境之外的此类设施，本来是作为“概念验证”用，以便其他市镇可以开设类似的场所。 然而，由于辉瑞疫苗的短缺，该诊所仅在48小时后就被下令关闭。 庄德利对记者说，市府在意识到这一漏洞后确实“立即作出反应”，并禁用了这一环节。 市政府发言人Brad Ross还告诉Newstalk1010，另外有6名预约的人在确定他们不在优先名单上后被拒绝了接种。 安省牙科协会在得知这个链接正在传播后，于周二向其成员发出了公告。 他们在其中表示，"该网站并不是给牙医用的，也不是给许多其他社区的医护人员用的"。(都市网Rick编译，图片来源星岛资料图) （ref:https://www.cp24.com/news/eight-people-mistakenly-given-covid-19-vaccine-at-mtcc-despite-not-being-on-priority-list-1.5274697)

【星岛专讯】随着与疫情相关的网上诈骗案成功机会增加，加拿大的网络间谍机构正在推出一个新的而且是免费的“威胁拦截工具”，供所有加拿大人使用。 这种首创举措在网络安全领域里，初步赢得不少认同，但专家警告称，需要密切关注这一举措，以确保它不会越过任何红线。 据加拿大广播公司（CBC）报道，管理“.ca”互联网域名的非营利机构，加拿大互联网注册局（Canadian Internet Registration Authority，CIRA，）和监控外国信号情报机构通信安全局（Communications Security Establishment）联手建立了“加拿大防护盾”（CIRA Canadian Shield），这是一个受保护的域名系统(DNS)服务，防止加拿大人连接到可能令装置中毒，并窃取其个人信息的恶意网站。 CIRA提供威胁拦截技术，而CSE的加拿大网络安全中心则提供有关威胁的情报，这是一份基本上包罗所有在网络上漫游的坏人名单。 网络安全中心(cyber security centre)负责人Scott Jones表示:“要让任何恶意软件攻击你，90%的工作都有赖于了解互联网上的地址簿。”他表示：“当我们知道这是心怀不轨的时候，CIRA会确保你不被引导去错误的地址。它会阻止你去坏地方。” Jones说，早在疫症大流行爆发之前，这两个机构就已经开始着手进行该保安项目。但当前的全球紧急情况使这个项目更有意义，因为大量的加拿大人现正在家工作，家中的通常是在不安全的网络或设备上。他说：“我们不只是提供与疫情相关的恶意攻击信息。我们从任何以政府为目标的犯罪活动，或我们所了解的犯罪活动中获取信息。任何国家支持的活动我们都可以阻止” “基本上，任何我们用来保卫加拿大政府的东西，我们现在都提供给所有加拿大人，这样他们就可以保护自己。” Munk School of Global Affairs and Public Policy的公民实验室（Citizen Lab）高级研究员Christopher Parsons表示，电子间谍机构正在走出阴影。他说：“（他们）公开通常属于机密的信息，然后努力使之对加拿大人更有用。” Parsons说，即使所有参与该项目的人都是出于好心，也应该对其进行审核和测试，以确保它不会意外地阻止加拿大人进入一些安全的网站。 他说：“要对政府提供给CIRA的项目进行评估，并确保这是真正是适合阻断的。” “我认为网络中心不太可能，秘密地利用它来建立一个审查网络的途径。我看不到这种情况会发生，但错误却可能会发生。” Jones强调，该机构只收集匿名统计数据，就是有关“加拿大防护盾”拦阻其威胁名单上网址的频率。 他说。“这与作为个人用户的加拿大人无关，我们对他们的使用模式一无所知。” 虽然CSE收集大量与加拿大利益相关的外国通讯，包括电话和电子邮件，但它的权限实质限制了它收集加拿大人数据的能力。鉴于其活动的敏感性，它受到一个独立组织监督，该组织过去曾因CSE元数据收集（ metadata collection）做法而对该机构进行过谴责。 作为威胁拦截工具的加拿大运作机构，CIRA必须遵守加拿大的隐私法，包括《个人信息保护和电子文件法》(Personal Information Protection...

这样一张照片， 很有可能是你我他这些普通人 在微信、脸书、Ins上晒出来的。 没有泄露任何个人信息！ 在网络安全专家或者跟踪骚扰狂眼里， 这里的有用信息可多了。 每日邮报的记者打算征召志愿者，请网络专家Eliot Higgins——Bellingcat网站的创始人，以及Karatzogianni博士来模拟跟踪骚扰狂，对普通人在社交媒体中贴出的照片进行探究。 在此之前，先来看一个明星被私生饭（艺人明星的粉丝里行为极端、作风疯狂的一种人）跟踪的极端案例。 私生饭从瞳孔反射图像找到偶像住所 当日本女团成员冈本笑南（Ena Matsuoka ）把自己的照片登在Ins，推特和脸书上时，她的初衷只是加强和粉丝的沟通，让自己的星路更加平坦。 这位21岁的小明星常常在社交媒体上晒出自己在家里的日常起居照片。 但是她完全没有意识到，照片里的各种细节会被跟踪骚扰狂反复研究，从卧室里的影子，房间窗帘的位置，到瞳孔里反射的影像，都能提供追踪她住所信息的蛛丝马迹。 2019年9月，26岁的男粉丝loner Hibiki Sato因为性侵冈本而被捕。随后他披露的细节让已经经历过太多大风大雨的侦探们都感到震撼。 这位男粉丝通过放大冈本笑南的照片，从她瞳孔反射影像中发现了一个地铁站的站名。 随后，这名疯狂迷恋冈本笑南的男子在该地铁站守株待兔，终于发现了冈本的踪迹。他尾随其后，找到了女明星居住的公寓。 再通过谷歌街景图的对比，以及冈本照片中提供的窗帘、窗户和太阳照射角度的信息，成功推测出冈本居住的楼层！ 这位私生饭丝从背后用毛巾捂住受害人的嘴巴，强力拖到一个黑暗角落试图施暴。 松冈竭尽全力挣扎挣脱，不断反抗中终于脱离凶犯的控制。 虽然这位跟踪狂没有最终得手，但是脸部受伤加之巨大的心灵伤害，让冈本最终决定退出演艺圈。 明星隐私泄露的事件警示我们，我们无意中晒出的照片很有可能被恶意人士追踪利用。 当我们为私生饭对明星无孔不入的追索手段而感叹时，网络专家却并不觉得意外。 网络专家们已经警告民众太多太多次，出现在大众视野中的个人照片会泄露出很多你并不想被别人知道的东西，只是我们总是不以为然罢了。 明星的生活似乎离我们太远，每日邮报的记者打算征召志愿者，请网络专家模拟跟踪骚扰狂，对普通人在社交媒体中贴出的照片进行探究。 真人实验一：利用照片追踪 第一位真人实验对象是Lady Dirndl(网名），她使用Ins和脸书售卖五六十年代的古董衣物、家具和家居用品。 由于Lady Dirndl通过社交媒体销售物品，所以她在贴出照片时是比较小心的，整体的照片风格明快、欢乐。乍乍一看，这些照片没法泄露出她的个人信息。 但是，在这些照片中，有几张是关于社区活动和热卖会信息的，细心的追查者很容易锁定她所在的城市是West London，并开始专注于该城市的信息研究。 网络专家继续深挖Lady Dirndl的各种贺卡、生日、庆典的照片，在她很久以前收到的生日贺卡中，朋友们称她为“Victoria”，现在我们知道了她真实的“名”。 往后翻很长一段时间，有一张Lady Dirndl主办的夜间诗会的海报，上面列有所有参与者的名单，其中一个人的名字是Victoria James。天，我们连她的姓“James”也搞定了。 在West London公开的城市信息里，我们并不能发现Victoria James的资料。 可是用她的真名Victoria James搜索，能够发现，在众多的名叫Victoria James的脸书账户中，有一个同目前已经废弃的网站ladydirndl.com相关联（Lady Dirndl是她的网名）。至此，我们确定了Lady Dirndl真实的脸书账户。 在这个脸书账户里提供了一些Lady Dirndl的生活痕迹。Lady Dirndl晒出的照片中有几张是为一个帮助顾客寻找摄影和摄像地点的中介做宣传的。登录这家中介的网站，可以发现它推荐了几个拍摄地点，其中一个是售卖古董的商店（还记得Lady Dirndl的职业吗？她专职售卖五六十年代的古董）。 追查者打电话给这家寻找摄影地点的中介，假意询问拍摄地点的情况，中介把这家古董店所在街道的名字告诉了追查者。但没有透露具体的门牌号码。 追查者细细浏览中介的网站，发现其中一张照片上有一个大大的红色“S”字母靠在墙面上。 接下来，追索者用Google Earth查看街景，仅仅花了几分钟就找到了这个红色“S”字母。至此，Lady Dirndl的地址也被翻出来了。 当记者给Lady Dirndl打电话的时候，她十分震惊：“Oh...

　多伦多CICS软件学会前会长李树德指出，去年全球发生多宗连锁企业与金融机构，遭黑客光顾致使客户资料大批外泄事故，依靠企业做好网络防范固然重要，但黑客总有破解之法，网民注重密码设定及更换尤其重要，他建议网民不妨以记事本等原始方法，记下复杂密码，少用小型文字档案(俗称Cookies)或网络自动纪录密码模式，让黑客有机可乘。 　李树德指出，一些拥有大批客户个人资料的大型企业及金融机构，近年已积极更新网络保安工程，防范黑客入侵，然而有黑客以攻入大型企业及财金机构客户数据库，获取客户个人资料为“职业”，专门破解当中保安漏洞取利，令大型企业防不胜防，所以经常使用网上服务的民众，须有加强个人网络安全的意识。 　他认同不时更改登入密码，是每名网民最容易又最有效的方法。现时黑客使用科技破解密码高超，内容越复杂越长的密码，较难破解，因此网络安全专家都会建议网民，多用符号及数字在密码内。 　谈到现代人动辄用到多达10个不同的登入密码，如何妥善记下，李树德建议可使用一个UBS，储存密码内容，甚至可考虑利用最原始方法，即纸张或一本簿子，将密码写下，好好收藏。 　他称不少网友会使用网站Cookies或在登入帐户时，按下“记得密码”（Remember Passwords），但此举会将登入密码记在搜寻器当中，若搜寻器遭黑客入侵，密码纪录等便容易落入黑客手中。 　他称2020年到来是网民更改密码的好时机，但认为网民应该至少每季更换一次密码，防止黑客易于跟踪及破解密码。本报记者(图片来源pixabay)

2020年代表展开新的10年，一些大型社交媒体及财务机构等，均趁此时候呼吁国民，应考虑更改过去长时间沿用的各项密码，并密切注视每月财务帐户。有网络安全专家建议最强防卫的密码，是混合了大楷与小楷字母、号码及符号的复杂密码，国民也应设立多个电邮地址，分散来接收各种电邮信息。 加通社报道，早前受“黑客”入侵导致数以百万计用户个人资料外泄的财务机构Desjardins与另一财务机构TransUnion，以及社交媒体Facebook，均趁新年伊始，呼吁国民应趁此时期，更改自己一直沿用的各网络登入密码，以全新密码迎来新一年。Informatica Corp资讯科技公司行政总裁兼网络安全专家博柏（Claudiu Popa）表示，网络专家通常都建议国民，应该每数个月就更换一次密码，不过也明白到网民一旦习惯了使用了一套密码，未必有动力去主动变更，所以新一年开始，正是更新密码的最好时机。 　加国银行家协会金融犯罪研究部门总监韦特（Adrian White）亦认同，银行或财务机构用户，经常更改登入帐户密码，避免遭黑客容易“跟踪”到密码底蕴，令客户蒙受严重经济损失。他指出，本国财务机构与客户本身或应考虑，使用数码式密码与做更多网络自卫及保安工作，确保自家帐户及使用网上财务服务时，不会遭“黑客”相中。 　网络安全专家博柏认为，踏入2020年的新世代，或意味着人们愈来愈难掌握私隐不被侵犯，经常使用网上服务或购物的人，最容易保护自己的方法，是不时改变密码，令不法之徒难以追踪到。 　他指出，设立一个稳妥密码，法则其实只有一个，就是使用较复杂的密码，即在内包含大楷与小楷英文字母、混合上数字与符号，且愈长愈能做到保安功能，故博柏认为该将“密码”（Passwords）改为“隐密短语”（PassPhrases），更为切合密码需求。 设立专门电邮管理银行帐户等 　此外，他又提建网民应考虑设立多个电邮地址，并订出一个专门用于接收个人银行帐户或其他重要帐户的电邮，此电邮地址，如非必要应避免让无关的人知道；其余的电邮地址，则用于接收其他无关痛痒信息，网民甚至可以利用一些本身已废弃不用的电邮地址，接收不重要电邮信息。 　博柏称，易遭“黑客”看中的高危网民，一般是经常登上社交网站，不时将个人资料暴露予公众视线内，以及经常从事网上购物等的人士。此外，网民在使用公众WiFi时，也应避免登入容易泄漏个人资料的网站，更不应用公众WiFi翻查帐单等。　

(■LifeLabs遭黑客窃取病人资料，并支付赎金，令公众哗然。本报资料图片) 近几年，个人资料外泄事件频发，包括近日发生的加国医疗化验公司LifeLabs遭黑客入侵事件， 引发公众对资讯安全的关注，更有温哥华律师拟代表受影响的民众发起集体诉讼，控告LifeLabs。有数据安全专家呼吁，处理敏感资讯的公司有必要采用更先进的资安技术，并在公司系统设计时，就将私隐保护纳入首要考量。 数据管理平台PHEMI System技术总监莫理森（Scott Morrison）表示，个人资讯外泄令民众个人身份和信息被滥用或盗用，也带来不小的金钱损失。这一问题近几年不断增加，是跨国、跨领域的普遍现象，多涉及零售业、金融业，及医疗业等。以LifeLabs事件为例，被盗的信息就关系著客户最敏感的健康、身份资讯，信息的泄露也令受影响的民众感到恐慌。 应该采用多重验证技术 他认为，这些个案都在提醒处理敏感资讯的公司，加强私隐保护的重要性，包括借助资安科技，提高对用户账号的保护。他强调，从个人角度来看，每间公司都应该尽可能采用多重要素验证（Multi-factor authentication，简称MFA）技术，也就是多因素验证，是一种电脑存取控制的方法，用户要通过两种以上的认证机制后，才得到授权，使用电脑资源。这种方式可以有效提高安全性，也是保护用户账号信息最直接有用的办法之一，但他称：“很可惜，并非每个公司都引入了这些手段。” 莫理森说：“这是个令人难过的现实，很多机构在处理这些敏感资讯时都没有足够的保护措施，没有采用更先进的安全系统。其实简单的资讯科技(IT)技术更新，就能够达到更好效果。” 他亦鼓励这些公司，遵照基本资讯安全原则来处理和保管用户信息，可有效防范资讯泄露的可能。譬如常见的“最小特权原则”（Principle of Least Privilege，简称POLP) ，即将员工进入系统权限制到最低水平，但仍能保证正常运作、满足工作需求的做法。 在这种情况下，一旦有员工个人账户被盗或遭黑客攻击，也不会有大范围的损失，同时也避免内部人员引发的资安事件。他举例称，魁省金融机构德信集团（Desjardins Group) ，今年6月份就发生内部员工在下载客户资讯时，外泄资料的问题就是很好的例子。 他并指出，许多公司的服务系统设计也没有将个人私隐安全作为首要考量。他建议多采纳“私隐始于设计” (Privacy by Design) 的架构，在最初阶段就对隐私及资料保护问题进行预测及处理，在基础架构的各层嵌入私隐控制，并延伸到企业所使用的应用程序中。

你在黑色星期五买了一台新电视。恭喜你，我们知道这不是一个容易的决定。从4K到超高清(Ultra HD)，现在的电视机真的是五花八门。但如果我们告诉你，你花了数百甚至数千元购买的设备可能在监视你呢？ 事实上，这件事是如此紧迫，美国政府执法机构希望你在成为受害者之前了解所有情况。美国联邦调查局(FBI)警告人们，电视制造商和应用程序开发商可能正在通过智能设备监视或监听你。你新购买的高科技电子产品却可能反而用来对付你。 智能电视连接到互联网，这使得人们很容易通过网络来观看内容。过去10年里，随着三星、索尼、LG等大品牌开始销售这种电视，它的受欢迎程度不断提高。 今天销售的大多数电视都是智能电视。《消费者报告》(Consumer Reports)援引研究公司IHS Markit的数据指出，2017年，北美市场69%的新电视都具备上网功能。全世界有数百万这样的家庭，预计还会有更多这样的家庭。 如今，越来越多的人取消了有线电视，转而依赖Netflix和YouTube等流媒体巨头，智能电视已经成为那些希望继续看电视人的现代必需品。 一些较新的型号配备了内置麦克风，允许用户用声音控制正在观看的内容。还有一些会利用内置摄相头通过面部识别技术识别用户并推荐内容。 这一切都是为了提高看电视的体验，让看电视变得简单，甚至你的奶奶都能方便地使用。但随之而来的是巨大的责任。 联邦调查局表示，你不仅要提防制造商，还要提防那些潜伏在黑暗中的人。黑客可能正在监听或监视你，如果他们能够黑进你家，特别是当你没有为你家的网络提供可靠的保护。 FBI在一份新闻稿中写道:“一个糟糕的网络黑客可能无法直接黑进你的电脑，但你不安全的智能电视可能会让他或她通过你的路由器轻松进入后门。黑客还可以控制你的电视。他们可以改变频道，播放音量，给你的孩子看不合适的视频。最糟糕的情况是，他们会打开你卧室电视里的摄像头和麦克风，悄无声息地跟踪你。” FBI给智能电视用户如下建议: 通过研究你的电视的特点来彻底了解它。通过“麦克风”、“摄像头”、“隐私”等关键词，在网上搜索具体型号。 更改您的设置来重置密码，并通过麦克风和摄像头关闭个人信息的收集。不要仅仅依赖默认的安全设置。 如果没有办法关闭摄像头，一个简单的解决办法是在镜头前贴一块黑色胶带。这是一种常见的“回归基础”选项，通常用于笔记本电脑。 研究制造商，看看他们是否有能力更新你的设备与安全补丁。如果他们以前做过，他们可能还会再做一次。 阅读电视制造商的隐私政策和你用来传输内容的应用程序，以确保这些条款适合你。 如果你认为不买电视就能解决你的隐私问题，那你就大错特错了。不只是电视容易受到黑客攻击。家中任何可以上网的电子设备都可能成为坏人的目标。这就是为什么在购买之前了解你设备的所有功能是很重要的。这不是联邦调查局第一次提醒人们注意科技。2016年，前联邦调查局局长詹姆斯·科米承认，他在笔记本电脑的摄相头上贴了一段胶带。(都市网Rick编译，图片来源图库) （ref:https://ca.finance.yahoo.com/news/fbi-smart-tvs-spying-privacy-140757329.html)

福特政府宣布，斥资7.65亿元用作重建与更换省内已老化的安全通讯网络系统，借此提升公共安全。 省长福特表示，贝尔通讯已获得省政府的改善与保持省内安全通讯网络合约，为期15年；有关网络，主要给予急救人员使用，希望更换网络系统后，可更加现代化及不易发生通讯中断事故。 福特指出，更换安全通讯网络是十分重要的工作；他强调，早应作出这项行动。 安省现有安全通讯网络覆蓋面积达75万平方公里，占安省约四分三总面积，当中包括北部没有无线通讯服务的地区，而网络可协助急救人员扑救森林大火、警务及医疗紧急沟通与协调行动。 省政府表示，对上一次更换安全通讯网络系统的时间为1998年，但已不符合2001年制定的公共安全无线通讯标准。 副检察总长Sylvia Jones亦表示，安省的安全通讯网络系统，是北美最复杂的系统之一，持续不断的沟通及通话，对于挽救生命至关重；他强调，现有系统仍然值得依靠。 省政府表示，新旧安全通讯网络的过渡期由2021年开始，预计新系统可于2023年6月全面投入。 （图片：加通社）

目前公共或私营机构随时成为网络攻击的对象，据最近调查显示，去年加拿大有71%的机构和组织曾遭受侵袭，96%认为加强员工有关安全意识训练，将有助减少事件发生。 由加拿大互联网注册局（Canadian Internet Registration Authority）公布2019网络安全调查报告，对加拿大网络安全角势进行概述。来自加国公共或私营机构逾500名代表接受访查，收集的结果可以了解他们如何应对日益加剧的网络威胁。 报告重点包括： -有71%的组织指，最少经历一次网络攻击，在某程度影响机构，包括：时间与资源，自付费用和赎金。 -即使96%的受访者表示，网络安全意识培训在某种程度上可减少发生这类事件，但只有22%的受访者每月或选择更好的训练。 -受访者中，只有41%是对所有员工进行强制性的网络安全意识培训。 -在那些遭受网络攻击的企业中，有13%表示这次攻击损害机构的信誉。这种看法与加拿大互联网注册局最近的报告《加拿大人应该拥有更好的互联网》，两者形成鲜明的对比。后者显示，如果他们的个人数据受到网络攻击，则只有19%的加拿大人会继续与该机构发展业务。 -43%的受访者不了解PIPEDA的强制性违规要求。 -在那些遭受数据泄露的企业中，只有58%向监管机构报告有关资料；48%知会客人；管理层占40%，董事局21%。 -有43%受访者表示，他们没有使用专门的网络安全资源，因为缺乏这类资源；对比上一年11%，已有所增加。 加拿大互联网注册局总裁贺兰（Byron Holland）称，现时国民比以往任何时候都需要对互联网的信任。 当局认为安全是这种信任的基础，所以要利用保护.CA域的经验，以便帮助本国机构保护自己和用户。 该局首席安全总监拉图尔（Jacques Latour）指出，虽然技术解决方案甚为重要，但对于任何组织来说，具有网络意识的员工是最好的保安方法。 是次报告所得，有更多机构已把网络安全意识训练作为防御的关键要素。其实还要做更多工作，以确保所提供培训的质量和严谨性，能与不断变化的网络安全世界保持同步。本报记者

加拿大国会众议院互联网安全小组，上周四向国会议员以及国会工作人员发出电邮，警告他们不要使用即时通讯及社交软件微信（WeChat），因为它具有“潜在的互联网安全风险”。众议院发言人表示，该警示并非应对任何已发生的安全意外，而只是一种预防性手段。 据iPolitics.ca报道，在加中关系持续紧张之际，加国众议院针对微信这个在中国以及海外华裔社区，均十分流行的应用程式（Apps）发出警告。上周四发出的邮件标题为：“讯息技术安全警告——微信应用的风险”。 根据iPolitics获得的该邮件内容显示，众议院安全小组指出，微信的讯息、社交媒体及支付功能，对使用者的互联网安全造成潜在风险。该邮件写道：“因此，国会众议院强烈建议国会议员以及国会雇员，避免因公务使用微信，其他交流也要保持敏感。” 讯息没加密 易被截获 该邮件指出，使用微信之所以有潜在威胁，是因为通过微信传递的讯息没有很好加密，很容易被截获。微信采用所谓端到端（end-to-end）加密，这就意味着第三方可通过后门获得使用者的资料及传递的讯息。 众议院安全小组在邮件中还写道：“另外，（通过微信传递的）讯息持续被留存在服务器内，即使用户已删除这些讯息，其所在位置的相关讯息可能被留存。这些服务器在加拿大以外地方，并不受加拿大相关隐私法律约束，无法保证使用者讯息获得严格保护。” 众议院发言人格加里（Kori Ghergari）受访时指出，向国会议员等人发出该邮件是一种预防性手段。 格加里说：“他们（国会互联网安全人员）并不是针对一次破坏行为做出应对，发出这个警告也没有其他原因。微信并不是国会众议院认可的交流工具。这个警告只是提醒使用者更加小心。” 国会参议员上周四没有同时收到该警告，参议院与众议院由不同的讯息技术部门服务。 iPolitics报道指，上周五曾联络微信做回应但未能成功，也未能自中国驻渥太华的大使馆获得回应。

■民主制度部长古德（Karina Gould，图） 联邦政府周一警告称，今年的联邦大选很可能遭到外国黑客干预，要求如推特（Twitter）等的科技巨企，加强防范工作，防止类似美国大选遭外国干预的事件重演。 民主制度部长古德（Karina Gould，图）周一指，有本国情报机构称，在今年联邦大选期间，外国黑客很可能会进行网络干预，试图影响大选结果。 古德表示，正就此事与美国主要科技公司商讨，同时会检讨目前的规管网络公司法例，是否足够，因为该些科技公司仍未能证明，他们可以有效地“自我监管”。 古德认为，各科技公司在监管有害内容及假新闻方面，仍然做得不够。 她又指，与谷歌（Google）和推特（Twitter）相比，脸书（Facebook）较为合作，但该三家科技巨企均“不合格”。 加拿大通讯安全局（Communications Security Establishment Canada，简称CSE）局长布鲁斯（Shelly Bruce），较早前公开表示，多过一个外国“对手”（adversary），透过黑客操控社交媒体，试图分化人加国人民，颠覆加国的外交政策。 CSE称，该些外国“对手”很可能在网络窃取个人资料，并散布假消息，试图干预联邦大选。 综合报道

■■一份最新报告建议，加国必须加强军事上的网络防卫，才能保障免受外国侵袭。 CNW Group 加拿大现时的军备采购模式和企业与政府的合作程度，追不上网络转变的速度。加拿大国防及保安业协会（CADSI）一份最新报告指出，必须加强军事上的网络防卫，才能保障加拿大免受外国侵袭。 这份名为《从子弹到字节》（From Bullets to Bytes）的报告认为，加拿大军队在现代化战场上，必须要实体与数码配合无间。 协会总裁Christyn Cianfarani表示，战争形态已经转变。军事上迅即迈进网络防卫对保护加拿大本土和驻外加军极为重要的未来。因此业界与政府如何合作，让加军和情报机构取得网络科技的方式也必须改变。 政府与网络防卫专家乏合作机制 历时一年，访问了70名政府、军方与业界领导人的报告指出，国防部计划未来10年，在网络防卫上投资数以亿元计，全国有数十间公司的网络防卫专家可以参与计划；但政府与业界缺乏正式的机制进行合作和建立互信，而采购程序往往要花好几年时间。 她说，敌人可以在几个月甚至几日内开展新的网络攻势。加拿大要在网络战场上赢取胜利，政府和业界必须效法盟国的紧密合作，加拿大的国家安全创新与整体采购程序必须追上网络速度。 报告指出，现代社会愈来愈依赖网络，网络战（Cyberwarefare）消除了前线与后方的分界，加拿大民众与军队同样受到日趋严重的网络威胁，因此建议让更多专家加入为网络后备军人。 本报记者

有媒体发现，去年5月一个由华为赞助于卑诗大学(UBC)举行的公开活动上，卑诗省首席资讯安全官员提到省府一些不能公开的网络安全资料，包括网络罪行成本，同时有超过170个与会人士没有接受安全审批。此外，加拿大多所大学都有接受华为的资助。 据Glacier Media报道，最近发布但部分节录的文件显示，卑诗省首席资讯安全官兼资讯安全处行政总监珀金斯(Gary Perkins)在该会议上，发表名为“资讯安全和私隐”的演讲。 珀金斯在演讲中发放的大部分幻灯片，都是有关媒体报道、网络犯罪成本、俄罗斯被指干预2016年美国总统选举、活跃黑客，以及易受网络攻击影响的重要基础设施。 其中一张幻灯片引用了联邦调查局局长，以及一个白宫网络安全与网络恐怖主义顾问所言，中国对大多数袭击都负有责任。此外，超过170个没有接受安全审批的人士出席了该次演讲。 卑诗省公民服务厅在给予Glacier Media的一份声明中表示，节录的资料，包括一份互联网协议地址列表；分配给连接到电脑网络的每台设备的编号；以及全球司法管辖区列表，这些列表经常是网络攻击的源头。 公民服务厅续道，节录是根据《资讯自由及私隐保护法》的规定而做，禁止可能会损害调查技术有效程度的披露。 负责卑诗省政府网络安全服务的珀金斯，应邀在UBC的电子及电脑工程教授贝诺索夫(Konstantin Beznosov)的会议上发言。文件显示，根据发布的电子邮件，珀金斯建议在网络安全中，涵盖网络安全威胁、重要关键基础设施、网络威胁事件应变，以及政府的作用。 演讲内容假定早已公开发表 贝诺索夫称，会议是公开的，欢迎任何人参加。他指出，所有的演讲内容都被假定是已经在公共场合发表过，或者打算在这些场合发表。因此，没有采取特别安全措施或安全检查。珀金斯在1月时，亦向西门菲沙大学(SFU)的学生和教职员，发表过同类的演讲。他没有就有关报道置评。 尽管在加拿大安全情报局（CSIS）主持下发表的学术讨论文件警告，中国的公司可能会参与由中国支持的网络间谍活动，但是加拿大多所大学，包括卑诗省两所大学，正在接受来自华为的资助或使用有关的电脑服务。 去年5月一份学术外展报告称，中国政府将利用商业地位，打入商业生意、技术和基础设施，然后用来达致情报目标。 中国2017年《国家情报法》规定，机构必须“在国家情报工作中提供支持和合作”。 中国扩大所谓的软实力，而不是军事硬实力的问题，已经成为CSIS近10年所关注。 其中在2016年，有一份报告特别提到了华为。报告指，CSIS已经看到了，在加拿大建立和维持繁荣的知识型经济的重要领域上，出现有由国家支持间谍活动的趋势，所指的包括人工智能、量子技术、5G、生物制药和清洁技术。虽然有这些警告，但是据悉加拿大一些大学，例如UBC、多伦多大学和SFU，接受华为数百万元的资助。 截至2017年10月，UBC从华为获得了300万元的研发和通讯研究。UBC表示，华为可能在2017年已为加拿大大学的研究投入逾1,000万元。 综合报道

  12月20日，美方捏造事实、无中生有，在网络安全问题上对中方进行无端指责，以所谓“网络窃密”为由对两名中方人员进行“起诉”。此举严重违反国际关系基本准则，严重损害中美合作，性质十分恶劣，中方对此坚决反对，已向美方提出严正交涉。 中国政府在网络安全问题上的立场是一贯的、明确的。中国是网络安全的坚定维护者，一贯坚决反对并打击任何形式的网络窃密。中国政府从未以任何形式参与或支持任何人从事窃取商业秘密的行为。 长期以来，美国有关部门对外国政府、企业和个人进行大规模、有组织的网络窃密和监听、监控活动，这早已是公开的秘密。美方以所谓“网络窃密”名义对中方进行无端指责，纯属倒打一耙，自欺欺人。中方绝不接受。 我们敦促美方立即纠正错误做法，停止在网络安全问题上对中方的诬蔑抹黑，撤销对中方人员的所谓起诉，以免对两国关系以及双方在相关领域的合作造成严重损害。中方将采取必要措施坚定维护中国的网络安全和自身利益。 英国等个别国家也在网络安全问题上发表了诬蔑中国的言论，他们纯属无中生有、别有用心。我们绝不接受，坚决反对。我们敦促这些国家尊重事实，停止对中方的蓄意诬蔑，以免损害他们与中国的双边关系和重要领域合作。 来源：海外网 外交部网站

  近日，多家网络安全机构确认，国内出现了要求微信支付赎金的新勒索病毒。该病毒入侵用户电脑后会加密用户文件，但不收取比特币，而是要求受害者扫描弹出的微信二维码支付赎金，获得解密钥匙。 勒索病毒还窃取QQ、支付宝等密码 截止到12月3日，已有超两万用户感染该病毒，被感染电脑数量还在增长。除了感染电脑中的软件，这次勒索病毒还盯上了包括路由器、智能摄像头在内的智能硬件。 网络安全专家 王亮：感染这个勒索病毒之后，用户第一个感觉就是突然自己的桌面背景被人换了。比如说自己的Word文档照片打不开，文件扩展名被修改。 该病毒还窃取用户的各类账户密码，包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号，建议被感染用户尽快修改上述平台密码。 一经感染 会弹出解密教程和收款二维码 “不同于其他勒索病毒，此次勒索病毒没有修改文件后缀名。”腾讯电脑管家安全专家称，一经感染，该勒索病毒对用户电脑加密txt、office文档等有价值数据，并在桌面释放一个“你的电脑文件已被加密，点此解密”的快捷方式后，弹出解密教程和收款二维码，最后强迫受害用户通过手机转帐缴付解密酬金。   腾讯电脑管家安全专家表示，从多个用户机器提取和后台数据追溯看，该勒索病毒的传播源是一款叫“账号操作 V3.1”的易语言软件，可以直接登录多个QQ帐号实现切换管理。 病毒作者首先攻击软件开发者的电脑，感染其用以编程的“易语言”中的一个模块，导致开发者所有使用“易语言”编程的软件均携带该“勒索病毒”。广大用户下载这些“带毒”软件后，就会感染该“勒索病毒”。 支付宝和微信回应 对于新出现的“勒索病毒”，主要两方面的问题。一是电脑感染之后如何破解，其次就是对于那些用微信或支付宝扫码支付的被感染者来说，扫码移动支付之后，微信支付账户是否存在风险。 对于第一个问题，网络安全专家表示，此勒索病毒已被成功破解，已有相关的安全产品可拦截、查杀该病毒。专家还建议，电脑用户一定要养成备份重要数据和文件的习惯，同时提高日常运维安全意识，做好数据安全防范工作。另外，就是计算机上要打安全补丁还有软件及时更新，被安全软件阻止的文件不要添加信任或者是放行，要通过正规渠道下载安装软件。   对于第二个问题，4日，腾讯方面回应称，已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结，微信用户财产和账户安全不受威胁。支付宝安全中心也表示，早有针对性的防护，已第一时间跟进，目前没有一例支付宝账户受到影响。 当然，对于散布这一病毒的始作俑者，特别是勒索到的资金，网络安全以及执法部门也应该及时行动，让相关人员承担应有的法律责任。 来源：央视新闻

■■各银行纷纷成立内部黑客部队。 加通社 星岛日报综合报道   小心！黑客正在破坏加拿大道明银行(TD Bank)的内部系统。别慌！道明银行会找到破解方法，因为这些黑客是道明银行聘用的员工，就是要不断试图攻击内部网络系统，以测试银行的网络安全性。 道明银行负责网络威胁管理的副总裁罗文格(Alex Lovinger)表示，银行去年底雇用了所谓的“道德黑客”，称他们为“红队”(red team)，可以有效地找到系统上的弱点而解决它们。 加拿大统计局称，2017年有21％的加拿大企业承认他们受到网络安全事件影响。统计显示，银行机构（不包括投资银行）网络安全事件的发生率最高，为47％，其次是大学和输油管运输行业。 今年初开始，政府有新法规要求企业需主动披露客户隐私泄露的问题，否则会面临高额罚款。 皇银3年增聘网络安全人员5成 5月，满地可银行(BMO)和加拿大帝国商业银行(CIBC)旗下的的Simplii Financial网络银行均表示，他们有数万名客户资料可能遭外泄 。 如今BMO已聘请道德黑客来测试银行安全系统，最近他们公开招聘具有道德黑客认证资格的高级经理，希望带领这个黑客团队。 CIBC没有说明是否有聘用道德黑客，仅强调：“银行利用内部和外部的专业知识，与行业和政府密切合作，以提高网络安全性。” 丰业银行(Sotiabank)首席信息安全官霍金斯(Steve Hawkins)亦表示，银行今年起已建立了内部黑客来测试其防御能力。加拿大皇家银行(RBC)早在几年前就开始聘用内部黑客，这几年不断增加网络安全预算，目前拥有大约400名网络安全专业人员，比3年前增加了50％。 但好的网络安全人才非常难寻。德勤会计事务所分析，加拿大的网络科技人才需求每年增长7％，到2022年，网络安全人才缺口预计将达180万。 Indeed Canada的数据，截至10月份，每增加100万加拿大就业岗位，就有1,024个网络安全空缺，比去年增加了5％。自2015年初以来，这一数字增长了73％。

■■加拿大已颁布保护网络个人信息新法规，保障国民私隐。加通社 星岛日报综合报道    资料来源：加拿大国际广播电台(RCI) 联邦政府公布了新的《保护个人信息和电子文件法案》，要求加国公司如有泄露客户个人信息及数据的情况，必须尽快报告，否则将面临处罚，每次违规的罚款额最高可达10万元。 加拿大在10数年前已出台了保护电脑数据， 防止泄露的法规，各省也先后出台了更详细的规定。这一法规涉及广泛的内容，从各方面敦促商家和企业保护客户的个人信息，包括姓名、年龄、住址、社会保险号、健康情况等等。 虽然这一法规的首要目的是敦促商家和企业重视对客户资料的保护。但从消费者的角度看，新法规的一个重要内容就是要求加国商家和企业，一旦有信息泄露的情况，必须及时通知客户或消费者。 敦促商家强化网络数据安全管理 以前若发生电脑数据泄露或被骇客入侵的情况，大多数省份都是让公司自行决定是否把具体情况通知客户。而新法规则要求加国公司在两年内加强网络安全保护措施，包括与第三方承包商所做的交易。而在客户隐私信息出现泄漏时必须及时告知客户，如果存在造成个人重大损失的风险，则还要通知联邦隐私专员办公室。 新法规也对违反行为制订了严厉的处罚措施，每次违规的罚款额最高可达10万元。一般认为，这个数额足以敦促许多企业更新其IT基础设施。 虽然隐私专员办公室称，新规则是朝着正确方向迈出的一步，但他们自己也认为还远远不够，主要是办公室没有获得执行这些规则的权力和资源。 上月隐私办公室发布的一份文件中，隐私专员瑟瑞恩（Daniel Therrien）表示，最近发生的两起数据泄露事件，一则是Equifax受到黑客攻击，另一起是剑桥分析公司收集选民信息，都使加拿大人意识到网络隐私保护的重要性，但政府的立法机构并没有给予足够的关注，也没有采取针对性的具体行动。 他要求政府增加隐私办公室的经费，由每年2,400万元增加一半。增加的拨款将用于雇用更多人来追踪和调查违规行为，现在办公室收到的违规报告正越来越多。 瑟瑞恩称，在是否赋予隐私办公室新的权力问题上，不应该再迟疑，罚款和例行检查都是为确保企业尊重网络安全和隐私的法律。 对商界服务 提出更高要求 加拿大独立企业联合会副主席莫若（Monique Moreau）表示，联合会将尽量帮助大小企业东主理解这一新法规。他们都有各自优先要考虑的事情，关于电脑数据的泄漏目前不一定是他们最关注的问题。有网络安全公司表示，新出台的法规显然是客户向公司提出服务要求的重要推动力。 ■■新颁布的网络个人信息新法规，对企业服务提出更高要求。资料图片   莫若认为，绝大多数企业还没有意识到会发生泄露的情况，也没有把报告数据泄露作为公司最重要的事情。她还以一个本地小企业为例说，比如一家自行车商店，可能每年向现有客户发送几次电子邮件，介绍新产品的信息。该商店以往可能不会认真考虑电脑中储存的客户资料，以及在网上进行营销的安全性问题。一旦这家商店的数据库遭到骇客进攻，或他们使用的客户资料被盗，那时再意识到安全性问题就晚了。 Rank Software是一间位于渥太华的网络安全公司，帮助商户防范网络威胁。其首席执行官考斯坦左（Rick Costanzo）称，以前也同意说有很多公司长期忽视数据泄露的危险，但现在的情况正在好转。在过去的10个月，该公司收入增长了一倍以上便足以证明。 他表示，新出台的法规显然是客户向公司提出服务要求的重要推动力。因为大家开始意识到，客户资料被盗的事已不是会否发生的问题，而是何时会发生。 有法律专家指出，新法律中有些提法和语言不精确，例如规定公司和商家要在发生数据泄露带来真正风险和实质伤害时，于可行的情况下尽快通知客户。这样的要求可能会导致有些公司报告迟缓或根本就不报告。 布朗（Ale Brown）是位于卑诗省温哥华的Kirke Management Consulting公司的创办人。该公司向各行各业的北美公司提供保护隐私建议。他说，有些公司因为看到了危险而积极采取行动。但只要事情还没有出现，大多数人都会忽略它。只有在公司看到他们的底线受到威胁时，才会采取行动。

综合报道 加拿大统计局的一项新调查显示，本国去年有超过五分之一的公司遭遇过网络攻击，网络安全方面的花费总额超过140亿元。据加通社消息，统计局在周一公布这项调查时称，由于本国企业不断加速采纳互联网和数字技术，他们遭遇网络安全威胁和网络攻击的风险亦不断增加。但是这些风险对于企业的投资和日常运营的影响，仍无法明确界定，因为网络安全事件往往没有报告给相关部门。 统计局称，去年只有10%的遭受网络攻击企业，向法律监管机构提交了报告。统计局透露，2017年，本国企业在雇用网络安全人员和承包公司方面花费了80亿元，在网络软件和硬件方面投入40亿元，在其他预防网络攻击和系统恢复方面投入20亿元。 本国企业在网络安全方面的总投入为140亿元，不及营业额的1%。 大型公司更易成网攻目标 调查显示，超过250人的较大型公司相比于小型公司，更易成为网络攻击的目标。2017年每家企业的平均停机时间为23小时。 满地可银行和加拿大帝国商业银行（CIBC）去年5月均遭遇了数据泄露事件。Equifax更是在2017年遭遇了海量资料外泄，1.43亿美国用户和10万加拿大用户的个人信息和信用卡资料被盗。 这份调查报告《加拿大网络安全和网络犯罪调查》，是由统计局代表加拿大公共安全部（Public Safety Canada）执行，数据资料是在2018年1月至4月间收集，样本规模为12,597家企业，样本回复率为86%。

■■加拿大需注意抵制上百个国家，通过网络窃取讯息并操纵选举。 星报资料图片 星岛日报综合报道 加拿大网络安全中心（Canadian Centre for Cyber Security）新主管警告，不仅是中国与俄罗斯，上百个国家都准备利用网络作为窃取资料、操纵加拿大社会的工具。 据Global News报道，虽然俄罗斯与中国因其网络技术，始终占据网络安全威胁首位，但还有很多国家可能造成危险。 加拿大网络安全中心主管兼加拿大通讯安全局（The Communications Security Establishment）网络安全副局长琼斯（Scott Jones）表示，有威胁的国家不只有一个或两个，其数量可达100个，因为这是远程操控大量讯息可用的便宜方法。 讯息战或干预大选 加拿大2019年联邦大选日期为10月21日。琼斯表示，从2015年前当局就与加拿大选举局（Election Canada)合作。虽然选举系统和运作得到很好的保护，但是民众需要关注的是类似讯息战，和社交媒体操纵公众舆论之类的活动，因为这将是干预大选的目标途径。 加拿大上周加入欧洲与美国的盟国后，公布了俄罗斯多次对本国发起网络攻击的事件，包括试图侵入国际化学武器监督机构（international chemical weapons watchdog），以及侵入世界反运动禁药机构(World Anti-Doping Agency)，导致运动员的个人讯息丢失等。7个俄罗斯间谍已被司法部(Department of Justice)提出缺席检控。

■■去年9月温市无党派协会（NPA）5位学务委员候选人，共同签名反对欺凌。左二为学委多米纳托。资料图片 ■■学生安全使用互联网，是被各方长期关注的话题。资料图片 星岛日报李群报道 近日社交网站“脸书”(facebook)爆出个人资料外泄丑闻，其创办人兼行政总裁朱克伯格（Mark Zuckerberg）在美国国会作证接受“拷问”，更承认犯错及道歉。为此，学生上网安全议题再度引起关注。温哥华教育局（VSB）学务委员指出，家长可参考此前公布的“学生安全上网家长指引”，并建议家长尽早与子女探讨网络安全，而非等到问题出现才匆忙应对。此外，教育局将举办两场互联网安全家长咨询会，欢迎公众积极报名。 近来“脸书”成为令人关注的焦点，据称该社交媒体8,700万用户资料确认遭流出，权益可能受到侵犯的用户或高达20亿。众所周知，脸书很多用户为青少年，学生们如何保护自我隐私、不触犯网络欺凌甚至犯罪的红线，是家长和教育工作者关注的问题。 家长应了解子女网上活动 VSB学务委员多米纳托（Lisa Dominato）周四接受《星岛日报》记者访问时表示，时下越来越多的青少年学生拥有智能手机，而且浏览网页、使用社交媒体及多种手机应用程式（APP），几乎成为他们每天必做的事情。青少年上网安全是重要议题，VSB早就做出学生安全上网家长指引，教科书中及教师在教室内，也会向学生介绍这方面的知识。 多米纳托说：“家长在教育子女时无疑也面临挑战。目前大多数中年以上父母，就读中学及成长过程中并没有互联网，不少家长对众多软件、社交媒体及手机应用程式并不了解，不知道应从哪些方面入手关注子女的上网安全。” 她建议家长，教育子女网络安全应防患于未然，即使未发现孩子存在问题也要尽早与子女沟通。在这方面家长应注意沟通技巧，在了解孩子使用社交媒体及应用软件的基本知识后，在尊重子女独立性的同时，要以开放交流方式了解子女到底上网从事哪些活动。 温哥华教育局制订的该指引，除了讲解学生浏览网页、使用社交媒体以及收发邮件的好处、危险及安全应对策略外，更提供家庭上网安全计划，以及高中生与家长互联网安全协议，供家长使用。也提供发现子女参与网上欺凌，或遭受欺凌时的应对小贴士。家长若需要这些资讯，可以前去子女就读学校或VSB索取。 举办网络安全家长咨询会 多米纳托表示，VSB已安排两场学生网络安全家长咨询会。首场为4月16日（周一）晚6时半至9时举行，地点在百老汇东街（E. Broadway）2600号温哥华工业中学（Vancouver Technical Secondary School）。 第二场将在5月8日（周二）晚6时半至9时举行，地点为温市西区威尔士亲王中学（Prince of Wales Secondary School），地址为埃丁顿路（Eddington Dr.）2250号。 有大温的华裔家长及青少年义工表示，支持VSB提供的指引，还特别指出家长与子女的上网合约帮助大。

■调查报告显示，全国差不多所有公司正面对网络安全威胁。资料图片   本报记者 有报告指去年10间加拿大公司中，有9间的网络安全每日至少遭攻击一次，复修费用平均高达370万元。  由IDC Canada于去年11至12月期间，透过Scalar Decisions Inc访问了加国420间资讯科技公司，及网络安全工作者所作出的一份2018年网络安全研究调查报告显示，全国差不多所有公司正面对网络安全威胁，包括敏感数据被盗取，且情况愈来愈恶劣。 报告显示，大部分加拿大公司的网络安全每年平均遭严重袭击逾450次，87%更至少一次被成功击破，近46%没有信心能抵御攻击。 Scalar Decisions安全架构师韦基（Theo Van Wyk）表示，因为网络安全漏洞似乎已变成新常规，公司再不能抱怨。他指很多公司虽然已聘用了专职的网络安全保安员，但防守仍有漏洞，这令公司不断遭网络攻击，导致复修网络安全的成本不断上升。 韦基表示，加国公司在优先考虑网络安全方面做的愈来愈好，但仍缺乏训练及计划。公司需要放眼他们的基础设施，并权衡他们面对内部及外面第三方带来的风险。如果不能在内部追踪，聘用外面的专家来支撑防御亦不失为一个有效方法。

综合报道 被外界称为“超级秘密间谍机构”的加拿大电子间谍机构CSE，昨日前所未有地向公众发布该机构开发的网络防御工具，以帮助公司和组织更好地保护自己的电脑和网络，免受恶意威胁。 据加拿大广播公司（CBC）报道，很少为外界所知的加拿大通讯安全局（The Communications Security Establishment，CSE）， 除了美国国家安全局前情报人员斯诺登泄密事件公布有关该机构的一些活动外，其行动甚少被披露。 CSE最近承认应该向加拿大民众更多解释其工作，昨日他们向公众开放一个恶意软件分析工具源代码（open-source malware）的方式，揭开了自己的神秘面纱。CSE称，这个名为流水线（Assemblyline）的恶意软件分析工具，被用于日常保护加拿大政府的庞大网络基础设施。 CSE的IT安全部门主管Scott Jones表示，开放流水线的源代码是一个很明智的公共关系行为，因为其机构正在为了摆脱“超级秘密间谍机构”的名声，而试图提高公开透明度。另方面，该机构指影响加拿大人和加拿大企业的网络威胁不断扩大，CSE在网络防御上应承担比过去更多的公众角色。 让社区网络防御更智能化 一名多年研究CSE活动的独立专家表示，CSE此举对该机构而言是一个破天荒的大变化，但对于被称为五只眼（Five Eyes）的合作伙伴，包括澳大利亚、加拿大、新西兰、英国和美国的情报分享联盟来说，这也不算新鲜。美国国安局和英国政府通讯总部（Government Communications Headquarters，GCHQ）一直在代码共享存储库GitHub上保持积极的努力。 本次CSE分享的流水线工具，被描述为类似于传送带，当文件进入系统后，就会有一些类似小助手的应用程序，自动梳理每一个文件寻找恶意线索。在出去时，每个文件都会有一个代码，这使得分析人员可以从新的攻击中排除旧的、熟悉的威胁，再用更仔细的手工的分析方法来对付它。 尽管CSE的工具也有可能被用来检测其自己或其合作伙伴设计的间谍软件，但Jones认为，无论它检测到的是犯罪集团还是国家或别的什么，都是好事情，因为这使得社区在网络防御方面变得更智能化。他也不担心向公众发布源代码将使对手更容易伤害政府，或了解CSE如何行事。他相信此举的好处远大于风险。

■IT专业人士萧振华 综合报道 美国国土安全部昨日发出警告称，比利时研究人员发现，用于给WiFi加密的WPA2（无线保护准入）协议存在漏洞，可能会允许黑客阅读加密的信息或感染恶意软件的信息，广大移动用户在使用WiFi通信系统时存在网络风险。 据加拿大广播公司（CBC）报道，美国国土安全部计算机应急小组的警报表示，由于WPA2协议的缺陷，用户在使用WiFi进行私人通讯时可能会被骇客入侵。它建议在受影响的产品，如思科系统公司（Cisco Systems）或瞻博网络（Juniper Networks）公司提供的路由器上安装供应商更新。 WPA2普遍被视为安全的WiFi加密方式，也是目前最广泛使用的WiFi加密方式。协议保证了供应商使用的现代WiFi系统在手机、笔记本电脑和其他与互联网连接的路由器之间进行无线通信。 然而，最近比利时鲁汶大学研究人员Mathy Vanhoef和Frank Piessens，发现了名为Key Reinstallation Attacks（KRACKs）的WiFi WPA2破解方法，令到WiFi加密方式再次陷入安全危机。 他们在一个网站www.krackattacks.com上说，如果用家的设备支持WiFi，那么它很有可能会受到影响。他们在该网站上提供了有关缺陷的技术信息和易受攻击的设备被攻击的方法。 目前还不清楚黑客利用这个漏洞攻击用户到底有多困难，及是否曾经使用该漏洞来发起任何攻击。 代表数百家WiFi技术公司的行业组织WiFi联盟表示，可以通过简单的软件更新来解决这个问题。该组织在一份声明中表示，它已经建议成员快速发布补丁（patches），并建议消费者快速安装这些安全更新。 IT专业人士萧振华昨日在接受本报访问时，进一步解释了本次事件对普通民众的影响。他表示，经过他对事件的初步研究，发现本次的WPA2漏洞主要是涉及使用Android和Linux系统的用户，因此大概会涉及全球范围内40%的WiFi用户。即使是使用Android 6.0以上的较新版本的用户亦有机会受影响。 他同时也指出，比WPA2漏洞更可怕的是那些可以提供免费WiFi的僵尸服务器，一旦其进入设备就可以窃取个人信息。 他提醒手机和笔记本电脑等移动设备的用户，目前能做到的，是在安全系统还没有更新前，凡是要登陆银行或购物网站等敏感信息的网站,都不要使用WiFi，而是使用4G LTE等数据流量。而家中的电脑所链接的路由器，也可询问供应商是否已经更修复了安全漏洞。相信各供应商和敏感机构的网络安全部门很快就会解决此问题。