繼數碼港的網絡數據被駭客入侵並進行勒索,消費者委員會也表示網絡數據被駭客入侵,駭客入侵企業或機構的電腦系統,非法篡改或盜取公司伺服器內的員工資料、求職者和應徵者的個人資料、客人和服務提供者的資料、查詢者的聯絡方法等,相信是次並不是單一事件,而是駭客組織有計劃的攻破包括香港的亞洲富裕城市機構的電腦系統,盜取包括商業機密的個人資料,甚至乎駭客會以密碼為企業的檔案「上鎖」,藉以進行敲詐,如果事件曝光,會讓被勒索單位的名聲受損,讓外界認為他們的網絡保安出現漏稅而不堪一擊,合作夥伴對日後合作產生猶豫,甚至乎將面對潛在的法律責任等。
其實,個別數據可以作出多重加密處理,而密碼也不應存放在伺服器的數據庫內,另外,該等公司也應該根據個人資料私隱專員公署建議,不應該把求職者的個人資料保存太久,在招聘時宜減少求職者填寫的個人資料;這些企業可以把敏感資料存進另一個平時沒有上網的電腦或硬盤,更重要的是加強機構的網絡保安,如增設不同的防火牆,打消駭客入侵的意欲,並不時更新網絡保安程式的最新版本,堵塞潛在保安漏洞,更重要是資訊科技同事要教曉員工,不宜胡亂按下不明來歷電郵、即時通訊軟件訊息的超連結,或不要以公司電腦瀏覽通常載有釣魚程式的境外博彩或色情網頁。此外,駭客入侵香港企業或機構的網頁或公司數據庫,個別受害人也基於商譽或其他考慮,未有報警,這卻是助長罪案,讓罪犯肆無忌憚向其他企業進行敲詐勒索。
作為負責統領政府內外推行資訊及通訊科技的香港特區政府單位,政府資訊科技總監辦公室宜向資訊科技業界定期交換網絡保安的新發展,提高商界對網絡保安意識。另外,個人資料私隱專員公署也應教育公眾,一旦自己的私隱被不知情的情況下被外洩,需要怎樣去減少帶來的損失和衍生的責任。
筆者認為,一旦機構或企業已認定網絡被駭客入侵、資料可能被盜、被篡改、被鎖上,換言之被勒索機構一早已經知情。實名投訴人的姓名、地址、聯絡方法全部被公開,或會引用被投訴方的後續動作;員工、求職者均是潛在苦主和持份者,他們理應該被及時通知,讓他們可以預早提防,如報銷信用卡、更換電話號碼,而不是在「東窗事發」後,在獲朋友通知私隱在暗網流傳或被拍賣,才後知後覺;所以某些機構只輕輕帶過,被盜數據或許包括哪類資料,而要待數據被「撕票」、被公開那刻才知道受影響人士和範圍,未免不太合適,尤其是求職者資料,機構須向公眾和持份者解釋為何仍然保留未有入職人士的個人資料,並做好更好的信息披露。長遠來說,機構須加強網絡保安意識,並為員工作出適當培訓,並製訂應變措施,把各方持份者的損害減到最低。
文:朱家健
全國港澳研究會香港會員、中國和平統一促進會香港總會常務理事、香港基本法澳門基本法研究會會員
*作者文章觀點,不代表堅料網立場