近年,香港致力要成為智慧城市,誓要追回被其他地區趕上的步伐。不過,在剛過去的一星期,就有幾件互不關連的事情發生,但實質又與資訊科技安全有關,反映當局和私人機構仍有空間需要改善。
先說說影響最輕微的一宗事件。旅遊發展局舉辦第十屆香港美酒佳餚巡禮,為慶祝成功舉辦十年,出動一百架無人機進行飛行表演。詎料,相關無人機的全球定位裝置受到干擾,懷疑是黑客入侵所致,最終接近四十架無人機墜毀,表演亦因而告吹。旅發局就事件已報警處理,而相關發言人表示未有預料表演會受到干擾。
再說另一宗,就是香港有大型航空公司及其子公司,未有做好資訊安全的措施,導致接近一千萬名乘客的個人資料有機會外洩。事件可算是全球轟動,境外媒體亦有報道,使香港的航空聲譽受到損害。根據報道,該公司早前發現約成千上萬的乘客資料曾被不當取覽。進一步的問題是,相關不尋常的活動是在今年三月出現,但為何要待半年後才作出通報呢?雖然該公司已報警處理,但私隱專員公署要求它盡快解釋事件。
至於最後一宗,則是「轉數快」系統存有漏洞,受害者因應徵工作向他人提供身份證照片及銀行戶口號碼,使騙徒有機會利用「電子直接支付授權」的渠道,在其銀行提取接近十萬元。金融管理局已知悉事件,並責成相關銀行堵塞漏洞,避免同類事件再次發生。與前兩者不同,是次跟黑客入侵無關,是制度程序上的缺陷,但仍屬資訊安全的範疇,當局不能掉以輕心。
以上三件事情,有後果輕微的,也有影響廣泛的,但全都理應能夠防止發生,只在乎當局及相關公司的警覺性。現時,香港的電腦安全管治主要由三個機構協調處理,包括政府電腦保安事故協調中心(GovCERT.HK),負責公共部門的電腦保安工作;香港電腦保安事故協調中心(HKCERT),隸屬於香港生產力促進局,負責為半官方或私營機構提供資訊安全意見;以及警務處網絡安全及科技罪案調查科,負責相關刑事調查工作。
去年,勒索軟件「WannaCry」一度肆虐全球,當時三個機構曾協調打擊相關的攻擊,並於上月成立「網安資訊共享平台」,為公私營部門及各業界提供最新的協作資訊。今次旅發局的無人機事件,可謂前所未見而防不勝防,故不能過分批評主辦方欠缺準備,但此亦足夠引以為戒。旅發局及其他半官方組織於日後舉辦活動時,不妨多考慮資訊安全的問題,也可向上述安全機構諮詢,進一步提升相關的保安水平。
至於航空公司外洩資料事件,就明顯是與其內部管治有關,坊間不排除是其早前大量裁員,減少資訊科技部門人手而引發保安問題。不過,核心又在於該公司刻意拖延通報事件,使受害人有機會造成更嚴重的損失。事實上,當局不能對此坐視不理,立法設立個人資料外洩的通報機制是必須的。試想想,香港存在眾多國際公司,管理及保存個人資料之多是難以想像。立法建立完善的通報機制,既是對香港市民負責,又能向國際社會展示專業的水平。
最後關於「轉數快」,其實真的對此很失望。香港的金融科技近年落後於其他地區,常以法規嚴謹作為解釋,指我們雖然未能享用相關技術,但勝在仔細研究後推出的,必然是安全有效的產品。然而,當「轉數快」使跨行轉帳成為可能之際,卻爆出安全漏洞的問題,實在如何不令香港人氣餒呢?
說到底,過去一周接連出現資訊安全新聞,可能就是一個警示。在陸續推出更多智慧城市措施的今天,網絡保安水平將會是個關鍵,我們又是否真的跟得上呢?