ますます進化するサイバー攻撃に直面した無数の政府宿題

ジャカルタ - インドネシア政府は依然としてサイバー攻撃に対して脆弱です。弱いサイバーセキュリティシステムは、多くの企業や省庁を深刻なハッキングデータの標的にしています。2024年を通じて、一時的な国立データセンター(PDNS)を攻撃したランサムウェア事件を含む、国内機関に対するサイバー攻撃の事例が少なくとも3件発生しています。

通信情報システムセキュリティ研究センター(CISSEeC)の記録によると、インドネシアは過去1年間に数回のサイバー攻撃を経験しており、そのうちの1つはハッカーのStor何がKAIを経験したものです。

さらに、スラバヤのPDNSがランサムウェア攻撃のために昨年6月に麻痺を経験したときを人々はまだ覚えている必要があります。その結果、冗談ではありません。教育研究技術省(Kemendikbudristek)の合計47のサービスが、奨学金制度、KIP Kuliah、映画ライセンスサービスなど、PDNSハッカーによって影響を受けました。

さらに、移民は最も影響を受ける機関です。バリ島のングラライ空港を含む多くの国際空港の入国管理サービスでは、乗客の蓄積を引き起こす問題が発生しています。この麻痺は、後にハッカーグループのブレインシパーによるランスムワレダリ攻撃によって引き起こされたことが判明しました。

スラバヤのPDNSにデータが保存されている政府機関は合計282社あり、ランサムウェア攻撃の影響を受けています。

しかし、2024年に発生した一連のサイバー攻撃は最後ではないと考えられています。CISSReCのプラタマ・ペルサダ代表は、技術の進歩と複雑さとともに、サイバー脅威は2025年にも拡大すると述べた。

「もちろん、2025年には、インドネシア国民が直面する多くのサイバー攻撃が依然として存在するでしょう」とプラタマはVOIが受け取った声明で述べました。

2025年はインドネシアのサイバー領域にとって困難な年になると予測されています。プラタマ氏は、今年は政府の注意が必要なサイバー攻撃が少なくとも5件あると予測しています。

1つ目は、エージェンティックAIの出現です。これは、人工知能(AI)技術の開発により、サイバー脅威がより洗練され複雑になるためです。Pratama氏は、AI Agentikは、誰にとっても魅力的な新しい機会として、そして潜在的な新しいサイバー脅威セクターとして浮上すると説明しました。

「これらのAIエージェントは、サイバー攻撃、偵察、取を自動化して、攻撃の速度と精度を向上させることができます。さらに、悪意のあるAIエージェントは、できるだけ多くの時間に適応し、従来の防御を突破し、攻撃の複雑さを高めることができます」とPratama氏は述べています。

インドネシアが警戒する必要がある2番目の脅威は、AIベースの詐欺とソーシャルエンジニアリングです。この人工知能は、細かいブチャリングやフィジスワード(ヴィッシング)などの詐欺を増加させる可能性があり、ソーシャルエンジニアリング攻撃の検出がますます困難になっています。

「AIと合成音声で生成されたDeepfakececanggihは、個人情報の盗難、詐欺、セキュリティプロトコルの侵害も可能にします」と彼は言いました。

この技術を使用すると、サイバー犯罪者は他人の身元を簡単に模して、検出が困難な詐欺を犯すことができます。

3つ目は、AIの使用で進化しているランサムウェア攻撃です。Pratama氏によると、サイバー犯罪者は、将来のレジリエンスのためにランサムウェア機能を適応させることによって、量子後の暗号化を準備するため、このような攻撃の追跡と対処がより困難になります。

第四に、サプライチェーン攻撃も2025年に深刻な脅威となるでしょう.ハッカーはオープンソースエコシステムを標的にし、組織を混乱させるためにコード依存を悪用します。攻撃者が複雑なサプライチェーンの弱点を悪用するため、クラウド環境が主な標的です。

「さらに、ハッカーは、標的にしている大企業への攻撃の入り口として、第三者企業を標的にします」とPratama氏は説明します。

最後に、プラタマは、イデオロギー的または政治的アジェンダによって推進されるサイバー戦争は、「ビッグフォー」アクター、すなわちロシア、中国、イラン、北朝鮮によるスパイキャンペーンの行動に続いて増加すると予測しています。

「イデオロギー的または政治的アジェンダによって推進されるサイバー攻撃は増加し、政府、企業、および重要なインフラストラクチャを標的にします」と彼は付け加えました。

ますます複雑化するサイバー脅威に直面して、プラタマはインドネシア政府に対し、デジタルインフラストラクチャとコミュニティデータの保護を強化するために、2025年までに完了しなければならない多くの重要な宿題を修正することを奨励しています。

優先事項の1つは、個人情報保護法の実施の具体的な形態としての個人情報保護機関(PDP)の設立です。

「この機関は、規制の遵守を監督し、データ侵害に対処し、違反者を制裁する独立した構造と強力な能力を持つことが期待されています」とPratama氏は説明しました。

さらに、PDP法の派生物としての政府規則の完成は、個人データの管理と保護において、公共部門と民間部門の両方のさまざまな当事者に明確な運用ガイダンスを提供するための重要なステップです。Pratama氏によると、この規制には、データセキュリティ基準、インシデント報告手順、紛争解決メカニズムなどの関連する技術的および法的側面が含まれていなければなりません。

政府はまた、国家立法プログラム(Prolegnas)の一部となったサイバーセキュリティとレジリエンスに関する法案の議論を加速する必要があります。この規制は、ますます複雑で組織化されたサイバー脅威に対処するためのより包括的な法的枠組みを提供すると同時に、サイバーインシデント管理における部門間の調整を強化するために必要です。

制度的な文脈では、国家サイバーパスワード庁(BSSN)の機能と権限を強化することが緊急です。政府は、BSSNがサイバーインシデントの検出、対応、回復の分野を含む職務を遂行するための十分な人材、技術、予算を確保する必要があります。

「BSSNはまた、エネルギー、輸送、電気通信などの国家重要インフラを確保する上で中心的な役割を果たす権限を与えられなければならない」と彼は述べた。

最後に、政府環境におけるサイバーセキュリティと防御の強化が主な焦点でなければなりません。これには、すべての政府機関における厳格なサイバーセキュリティポリシーの実施、相互運用性の高いセキュリティシステムの統合、サイバーセキュリティ分野での集中的なトレーニングと認定を通じた人材の能力の向上が含まれます。

「この取り組みは、インドネシアがデジタル時代の課題に直面し、サイバー空間で主権を維持する上で重要な基盤となるでしょう」とプラタマは最後に述べました。