提升網絡安全意識 建可靠防線禦黑客
2023-09-23 00:00香港網絡安全再響起警號,繼數碼港之後,消委會也遭黑客入侵,大量個人資料被竊,並遭勒索贖金。事件反映公營機構網絡安全不足,其他公私營機構更應引以為鑑,盡快檢視電腦系統並進行升級,還要加強員工對網絡風險防範意識,以免成為下一個受害者。
消委會電腦系統周二晚遭黑客以勒索軟件惡意入侵,8成系統受到破壞,暫時不清楚甚麼資料被竊,估計涉及4類人士資料,包括員工、前員工及求職人士的資料、《選擇》月刊訂戶的信用卡資料、曾向消委會投訴人士及合作夥伴的資料。
黑客用AI提升攻擊能力
雖然消委會迅速報警並向公眾交代事件始末,反應明顯比數碼港遲了半個月才交代資料外洩一事快得多,但一個月內有兩間公營機構被黑客入侵,卻讓公眾感到驚訝,質疑其網絡系統如此不堪一擊。數碼港資料外洩,歸根究柢是人為疏忽所致,但消委會強調事件不涉員工錯誤點擊釣魚網站,而是網絡安全問題,並掌握黑客入侵的源頭和細節,只因要配合警方調查而不向公眾公布。
黑客犯案手法,通常以隨機方式攻擊大型機構的不同系統或軟件的保安漏洞,或以網絡釣魚方式誘騙用戶開啟惡意電郵,再利用惡意程式入侵系統,然後掃描系統內的各個檔案,尋找並盜竊有價值的資料,例如個人資料、公司財務及機密資料,再威脅發布或出售資料來勒索受害機構,以索取贖金。
今次消委會強調不涉人為疏忽,自身又定期更新系統軟件和進行安全風險評估,依然出事,估計有兩個可能:一是其所使用的電腦系統軟件存在漏洞;二是黑客技術更勝一籌,即使消委會投入不少資源在電腦系統,依然無法做到百毒不侵。
黑客無處不在,亦無孔不入,令人防不勝防,確是不爭事實,但不能因為消委會網絡安全出問題而妄下定論,指坊間現有防火牆軟件沒有用。事實上,科技日新月異,黑客不斷學習新技術來提升攻擊能力,正利用人工智能(AI)協助編寫一些可瞞過傳統防病毒軟件的惡意程式和電郵、幾可亂真的Deepfake圖像,而防火牆和防病毒軟件未必能及時追上黑客技術升級速度,才讓黑客有機可乘。
須定期更新網絡軟硬件
兩宗資料外洩事件均反映公營機構網絡安全有不足之處,對全港公私營機構起了警示作用。黑客入侵並非個別事件,公私營機構切勿心存僥倖,應即時檢視自身網絡系統的軟硬件是否有安全漏洞,並盡快作出修補,除了定期更新防火牆、入侵檢測系統和防病毒軟件,更要與時並進,提防黑客通過操縱AI算法來入侵系統,最佳方法是加強網絡安全措施,對敏感資料進行加密處理,並採取多重身份驗證。
與此同時,公私營機構亦要加強對員工的網絡安全培訓,讓其了解最新網絡威脅,提高識別網絡釣魚訊息的能力,並加強員工對網絡安全的防範意識,除了不要隨意下載或點擊可疑網站和電郵外,更要定期更改密碼、使用多重身份驗證來提高帳戶的安全性,以及要求定期對重要文件和數據做檔案備份,離線儲存和加密備份,才能在網絡攻防戰中建立更安全可靠防線,抵禦黑客入侵。
關鍵字
最新回應