【商報時評】多管齊下令黑客無機可乘-香港商报
首页 > 新闻专题 > 评论 > 商报评论

【商報時評】多管齊下令黑客無機可乘

2023-09-23
来源:香港商報

    先是數碼港,然後消委會,兩家機構短時間內連遭黑客入侵及勒索,事件再次引起各界對網絡保安的關注。事後怎處理?事前怎防範?坊間討論熱烈,各有不同意見;綜合來說,就是要多管齊下,盡量令黑客再沒可乘之機。

    黑客勒索(ransomware)並不罕見,香港也難獨善其身。有統計指,單計去年上半年,全球已有近2.4億宗黑客勒索,幾乎每19秒就有一宗,而預期到2031年,更可能惡化至每2秒就有一宗,一年所涉金額或高達2650億美元;勒索所涉贖金漲幅同樣驚人,繼2020年同比平均每宗增171%,2021年再大增82%。僅以科技最發達的美國為例,美國聯邦調查局(FBI)官方資料顯示,去年共接獲870宗有關關鍵基礎設施的黑客勒索投訴,遍及醫療、資訊科技、金融服務,甚至國防等諸多領域。單計今年,美國達拉斯政府便遭黑客破壞了911、供水、法院等系統,導致服務中斷,而美國醫保巨頭HCA亦有數以百萬計的病人資料被竊。私企也是黑客勒索對象,就連科網企業甚至網絡安全公司亦不例外,已公開的受害單位不勝枚舉,再加上,許多機構不希望損害聲譽及市場信心,故即使被黑也傾向秘而不宣,故實際名單肯定更長。

    至於被黑客勒索應如何善後,亦為公眾爭議焦點。繼數碼港拒交贖款後,消委會昨亦表明不會就犯,外界因而擔心「撕票」風險,前者被盜的資料後來就被發現拿到「暗網」販賣。不過,順從綁匪是否最佳辦法?會否令綁匪食髓知味,反而增加日後風險?有調查指,80%繳交贖金的受訪企業,之後很快再遭黑客勒索。也莫說,繳款後亦無法保證對方不會轉售資料圖利,正如人質被綁架時在繳付與撕票之間都有兩難。即如美國今年底即將生效的《黑客勒索披露法》,立法原意是透過強制披露、杜絕隱瞞,來改善當局對類似案件的認知,從而更好完善應對辦法;不過,要求當事者在事發48小時內須作報告,既嫌過度擾民嚴苛,還恐令相關高風險者進一步曝露人前,彷彿為黑客製造入侵名單般。美國還有一招,其中虛幣交易平台SUEX就一度被叫停,理由是分析指當中逾40%的已知交易對象是非法的。眾所周知,虛幣的加密性質向來遭不法分子利用,惟相關交易平台又豈止一個?執法部門如何有效查核及追蹤箇中「去中心化」的交易?

    「道高一尺,魔高一丈」。踏入互聯網時代,黑客勒索難免愈來愈多,也難徹底禁絕,就像時至今日扒手仍然存在,這無奈是伴隨科技發達而來的新常態副作用,尤其為了方便日益普及的遙距工作,也可能變相為黑客入侵打開後門。即使如此,也要爭取「魔高一尺,道高一丈」,包括增加黑客成本,令他們無機可乘。事前防範方面,離不開改善網絡保安,包括針對提高關鍵資料的保安級別,及定期更新修補程式、提醒員工防範釣魚程式等;事後處理方面,亦須提高執法力度與違法罰則,加強與其他地方的經驗交流,以至跨境合作、信息分享等。警方既要做好相關宣傳教育,創科局尚可為公營機構及社會各界制訂指引或「懶人包」。畢竟,不僅政府,任何機構甚至任何人,都須警惕落入黑客魔爪。(香港商報評論員 李明生)

[责任编辑:蒋璐]