港網絡保安頻頻失手,千瘡百孔!近月有數間旅行社接連遭黑客入侵,香港電腦保安事故協調中心前日公布,去年惡意軟件攻擊的事故較前年狂飆近百分之八十,而科技罪案亦為前年帶來超過二十三億港元的財務損失;惟本地專職從事資訊科技保安工作的人數不足百分之一。有涉事旅行社急急補救,轉為人手廿四小時輪流監測保安系統及數據庫;但有中小企協會代表踢爆,逾九成中小企仍未設專人負責網絡保安,資訊科技界立法會議員批評政府在增撥資源和宣傳教育上仍然欠奉。
近月多間旅行社接連被黑客入侵,客戶個人資料可能外洩,更有旅行社遭勒索市值約十萬元比特幣。金怡假期總行政助理李靜怡表示,已就事件報警處理,暫未知受影響人數。她指,電腦系統遭入侵時正進行升級,黑客未必取得重要數據,事前該公司採用二十小時自動監測保安系統,事後已加強保安,由人手二十四小時輪流監測保安系統及數據庫。
香港電腦保安事故協調中心公布,去年共處理六千多宗事故,其中以惡意軟件攻擊的事故連續兩年飆升,達到二千多宗,比前年一千多宗大增近八成,該中心預計今年網絡保安事故會繼續上升。中小型機構較易受網絡安全的威脅,該中心經理梁兆昌指出,中小企因資源所限,網絡保安能力各異,連串大型網絡攻擊後,向該中心尋求保安忠告的中小企亦有上升。警方接獲前年科技罪案導致的經濟損失創新高,至逾二十三億港元,平均每宗個案涉三十八萬多元損失。惟職業訓練局數字顯示前年本港八萬多名資訊科技僱員中,只有不足八百名專職於資訊科技保安工作,佔總數不足百分之一。
「香港有超過九成中小企都冇專人負責網絡保安,而係好籠統將所有資訊科技嘢當係一個崗位。以一個飲食集團為例,有千幾個員工,但負責資訊科技嘅就唔超過兩、三個,仲要兼顧網站維護、網頁平面設計、社交媒體營銷等。」香港中小企協會創會會長佘繼泉表示,大部分傳統行業例如製造業、貿易批發業等,管理層均低估網絡安全的重要性,負責的人員比例遠低於合理水平。
「中小企資源唔多,只為求用最少嘅錢請資訊科技人員返嚟維持公司營運,例如設網站擺公司資料上網,方便顧客喺網上做交易;但網絡保安專員就要掌握唔同攻擊手法、檢查軟件同系統有冇漏洞,從而避免帶嚟更多經濟損失!」全球網絡資訊保安方案廠商香港區顧問總監李浩然強調,網絡保安不是一般資訊科技界人士可應付得到,並承認相關人才在行內奇缺。
他舉例,一旦開啟新式勒索軟件如「WannaCry」、「Petya」等,將面臨內部檔案遭加密並且勒索、直接偷取顧客個人資料,或網頁遭到改頭換面甚至引導去欺詐網站,「黑客可以遙距做攻擊,攞完個人身份資料去黑市做買賣,勒索用虛擬貨幣又好難追蹤到」,後果嚴重。
「近期好多迹象顯示網絡攻擊已經向中小企『埋手』,要求贖金都低咗,幾千到萬幾蚊都有。」資訊科技界立法會議員莫乃光擔心,普遍中小企資訊科技保安意識不足,未必有資訊科技的部門,或過於依賴外判公司提供的簡單服務,無人駐場,「連基本保障好似防毒軟件同防火牆更新都無,但罪犯用自動工具掃一掃就知邊間公司做得唔夠,之後集中入侵!」莫敦促政府從增撥資源和宣傳教育兩方面着手,以提高各行業應對網絡風險的能力。
政府資訊科技總監辦公室回覆指,政府已制訂一套全面的資訊保安政策、標準、指引、程序及相關實務指引,供有關機構使用;並通過舉辦會議、專題研討會和工作坊,提升資訊科技人員的資訊保安技術和知識。警務處網絡安全及科技罪案調查科回覆指,涉及加密勒索軟件的勒索案件由一五年的十四宗,上升至一六年的六十三宗,去年首十個月亦有三十一宗,涉及金額由一五年約八千元,上升至一六年約七萬三千元,至去年首十個月約十一萬三千元。
圖:吳啟偉、李西全
文:劉潔伶