先是數碼港，然後消委會，兩家機構短時間內連遭黑客入侵及勒索，事件再次引起各界對網絡保安的關注。事後怎處理？事前怎防範？坊間討論熱烈，各有不同意見；綜合來說，就是要多管齊下，盡量令黑客再沒可乘之機。

    黑客勒索（ransomware）並不罕見，香港也難獨善其身。有統計指，單計去年上半年，全球已有近2.4億宗黑客勒索，幾乎每19秒就有一宗，而預期到2031年，更可能惡化至每2秒就有一宗，一年所涉金額或高達2650億美元；勒索所涉贖金漲幅同樣驚人，繼2020年同比平均每宗增171%，2021年再大增82%。僅以科技最發達的美國為例，美國聯邦調查局（FBI）官方資料顯示，去年共接獲870宗有關關鍵基礎設施的黑客勒索投訴，遍及醫療、資訊科技、金融服務，甚至國防等諸多領域。單計今年，美國達拉斯政府便遭黑客破壞了911、供水、法院等系統，導致服務中斷，而美國醫保巨頭HCA亦有數以百萬計的病人資料被竊。私企也是黑客勒索對象，就連科網企業甚至網絡安全公司亦不例外，已公開的受害單位不勝枚舉，再加上，許多機構不希望損害聲譽及市場信心，故即使被黑也傾向秘而不宣，故實際名單肯定更長。

    至於被黑客勒索應如何善後，亦為公眾爭議焦點。繼數碼港拒交贖款後，消委會昨亦表明不會就犯，外界因而擔心「撕票」風險，前者被盜的資料後來就被發現拿到「暗網」販賣。不過，順從綁匪是否最佳辦法？會否令綁匪食髓知味，反而增加日後風險？有調查指，80%繳交贖金的受訪企業，之後很快再遭黑客勒索。也莫說，繳款後亦無法保證對方不會轉售資料圖利，正如人質被綁架時在繳付與撕票之間都有兩難。即如美國今年底即將生效的《黑客勒索披露法》，立法原意是透過強制披露、杜絕隱瞞，來改善當局對類似案件的認知，從而更好完善應對辦法；不過，要求當事者在事發48小時內須作報告，既嫌過度擾民嚴苛，還恐令相關高風險者進一步曝露人前，彷彿為黑客製造入侵名單般。美國還有一招，其中虛幣交易平台SUEX就一度被叫停，理由是分析指當中逾40%的已知交易對象是非法的。眾所周知，虛幣的加密性質向來遭不法分子利用，惟相關交易平台又豈止一個？執法部門如何有效查核及追蹤箇中「去中心化」的交易？

    「道高一尺，魔高一丈」。踏入互聯網時代，黑客勒索難免愈來愈多，也難徹底禁絕，就像時至今日扒手仍然存在，這無奈是伴隨科技發達而來的新常態副作用，尤其為了方便日益普及的遙距工作，也可能變相為黑客入侵打開後門。即使如此，也要爭取「魔高一尺，道高一丈」，包括增加黑客成本，令他們無機可乘。事前防範方面，離不開改善網絡保安，包括針對提高關鍵資料的保安級別，及定期更新修補程式、提醒員工防範釣魚程式等；事後處理方面，亦須提高執法力度與違法罰則，加強與其他地方的經驗交流，以至跨境合作、信息分享等。警方既要做好相關宣傳教育，創科局尚可為公營機構及社會各界制訂指引或「懶人包」。畢竟，不僅政府，任何機構甚至任何人，都須警惕落入黑客魔爪。（香港商報評論員 李明生）