近來黑客入侵事件頻發,香港桂冠論壇、數碼港、消費者委員會、香港芭蕾舞團等機構接連發現電腦系統遭黑客惡意入侵,導致系統大規模受到破壞、資料外洩。黑客普遍採用勒索軟件(ransomware)的方式入侵企業系統,事故陸續波及公私營機構與政府部門,人人自危。系統的漏洞可否被修補?企業又應該如何應對?
記者|司徒泳錡 編輯|賴雨知 攝影|司徒泳錡
11月舉行、一連六日的首屆「香港桂冠論壇」由特首李家超主持開幕禮,活動邀請了來自世界各地的科學家進行學術交流,包括20多位「邵逸夫獎」得獎者,吸引各大傳媒採訪。但在開幕前不足兩個月,9月27日,黑客突然來訪擾亂了論壇的籌備工作。
「早上回到辦公室,我和同事發現無法打開電腦裏的一些檔案。」香港桂冠論壇助理傳訊及活動經理周仲仁憶述被黑客入侵當日,於伺服器房間檢查的情形,只見電腦屏幕上有一個勒索軟件的訊息,指機構的所有檔案已被加密,需要在24小時內根據要求購買比特幣,才能解鎖。周表示,本來為了方便同事互相存取資料,所有的工作檔案皆儲存在中央伺服器中,未料卻受黑客直接攻擊,結果導致接近九成的內部資料都被黑客掌握在手並被上鎖加密,無法如常工作。
不乏安全意識仍中招 事故後工作難以復常
籌辦桂冠論壇的委員會由20人左右組成,委員會主席為理大前校長唐偉章,成員包括前全國人大常委范徐麗泰、行政會議成員任志剛,負責制定機構方向,日常工作則由機構轄下的秘書處成員負責。周仲仁說,由於機構規模較小,所以沒有專門負責資訊科技的員工,較依賴外判供應商提供資訊科技的專業知識,並由他們幫助機構配置資訊安全的設備。當初根據外判供應商建議,機構內部已設立用於抵禦外來攻擊的防火牆和入侵者檢測系統,同時也在電腦上安裝了防毒軟件等。公司會定期提醒同事注意資訊安全,相信他們不乏網絡安全意識,不會隨意點擊不明郵件連結。
「即使有意識也好,都未必(能)百分百防止這些事情發生。」
被黑客存取及加密了的資料,大部分涉及工作檔案,亦包括參與論壇的邵逸夫獎得獎者的聯絡資料,估計受影響人數約550人。該黑客入侵事故發生在9月底,過了一個多月,香港桂冠論壇委員會的辦公室全數14部電腦依然未能如常運作,只能依靠臨時電腦系統。突如其來的意外讓所有人都措手不及,周坦言9月和10月是籌備工作的高峰期,機構被黑客入侵後,大家在準備論壇的同時,還要額外修復檔案,令員工疲於奔命:「有部分檔案要重新再做,另外如果找得到在電郵發出去的(附件),都會拿回來做一些更新。」
防護設備未完善 致資料被大量盜取
龐博文是訊息安全專家,在八十年代開始服務於加拿大的執法機關和四大會計師事務所,做鑑證調查和攻擊測試。他表示,一間機構須安裝四層防火牆,分別用作隔離外界入侵、允許登入及使用軟件、分隔數據庫以及監察內部員工的網絡使用,才稱得上是較為安全的系統及網絡。但據他了解,現時規模較小的公司或機構只安裝一層用作阻擋內部網絡受外部入侵的防火牆,機構伺服器缺乏應有的多重保護,因此黑客才能輕易攻破牆,令事故頻生。
他續指,不少機構將大量資料單一存放在中央伺服器的做法並不可取。今年8月,香港數碼港管理有限公司被勒索軟件攻擊伺服器,黑客盜取的資料達400GB,數碼港在2013至2023年間的資料在單次事故中被全部盜取,牽涉員工個人資料,包括聯絡方法、薪金、信用咭資料,還有數碼港與商業機構、政府往來的文件。龐博文估計,公司在保護系統本身未有足夠防護,且內部只有一個儲存系統,不論新舊資料皆集中儲存在其中,導致受影響範圍甚大。他認為該公司缺乏資訊安全意識,比喻說:
「一個超級市場的糖果架,被人偷一兩包糖是正常的。但被人整個糖果架搬走,這件事就非常不正常。本身做得不好,對方隨隨便便都能夠攻擊他們。」
今年10月中旬,香港郵政發生資料外洩事故,指有未經授權人士「多次嘗試及猜測」後取得帳戶持有人的登記電郵地址。翻查資料,香港郵政於2022年9月斥資五萬港元完成了保安風險評估及審計 (SRAA)。據政府資訊科技總監辦公室2021年的《基準資訊科技保安政策》,政府部門的資訊系統需至少每兩年進行一次保安風險評估,確保部門的網絡保安達合標準的水平。
龐博文形容,此金額不足以替一個政府部門進行合標準的測試及審查:「郵局這一類大型政府部門,動輒有幾百個伺服器,我們收費的計算方法是基於系統數量計算,五萬元只可做一個最簡單的漏洞掃描,沒辦法做攻擊測試。」龐認為部門未有妥善完成基礎的安全測試,所以增加了資料外洩事故的風險。
公司管理資料應力臻完善 對付黑客有法
近來接二連三發生的資料外洩事故,牽涉各類規模的機構,受影響人數難以估量,反映企業或政府部門在保障資訊安全上有疏漏。龐博文分析指,近日的個案中,不乏管理資訊欠妥善而遭黑客攻擊的機構,例如桂冠論壇等公司,建議企業在管理及儲存資料上多加留意,以降低被黑客入侵系統時的受制範圍。
他提出在設置公司系統存放資料時應:
- 將公司部門資料分門別類,儲存在不同伺服器。
- 加密檔案資料及數據庫,令入侵者因需時解密,而降低攻擊意欲。
- 做妥補丁程序(service patch management),即確保系統更新至最新版本,以協助系統修復漏洞,防止黑客透過漏洞入侵企業內部系統。
- 從多個途徑備份資料與檔案,即使儲存備份資料的伺服器被攻擊時,亦有其他途徑開啟檔案。
他又建議企業在軟件上需設置充足的資訊安全設備,保護網絡資產:
- 設置足夠防火牆,阻擋來自外部網絡的入侵。
- 具備入侵者檢測系統,檢查所有獲授權進入內部網絡的資料是否包含可疑活動。
- 安裝防毒軟件,檢查已授權使用的檔案中是否含有病毒。
龐博文說,礙於不少公司及企業資源有限,難以設立絕對安全的系統,他強調,若未能使資訊安全設備完善,在不使用電腦時將其關掉,已是防止黑客入侵系統最直接的方法,因為黑客難以在電腦關機的情況下入侵該網絡。
「如果我是一個黑客,你對付我最好的方法就是關機,你都不存在在我(的)世界裏,我怎樣入侵你?」
無線網絡成漏洞 被入侵或與黑客技術無關
除了儲存資料的系統容易成為黑客目標,現在大家每日都使用的無線網絡(Wi-Fi)及虛擬專用網絡 (VPN)原來都是黑客常鑽的漏洞,以盜取個人資料作勒索用途。香港中文大學信息工程系教授周思驍與研究團隊日前針對企業使用的Wi-Fi 及VPN 進行研究及測試,結果發現當中有不少在設置或開發上出現漏洞,令個人帳戶密碼能在不知情的情況下被黑客偷取,反映不少用戶正使用不安全的無線網絡設定。
黑客大規模地在網上尋找漏洞,試圖進入網絡中對系統進行攻擊。周教授指,其實勒索軟件多年來模式如出一徹,但對於本港接連有機構出事,他解釋,有機會是用戶密碼被偷取,黑客獲得資料存取權,輕易入侵系統,繼而獲得資料,與黑客本身的技術沒有直接關係:
「我們同學畢業都寫得到勒索軟件 (ransomware),不是很難的東西,難處只是在於第一步如何進入你要入侵的網絡中。」
周教授坦言,入侵事故防不勝防,因此要有恆常的備份習慣及充裕的備份途徑,就算被入侵及盜取資料,對企業的影響也能降至最低。
企業需求漸增 報讀資訊保安課程成趨勢
不少企業在檢視內部系統安全的同時,亦會加強員工的網絡安全知識。坊間有不少國際網絡保安認證課程,教授資訊保安知識。導師Shell在KornerStone教授資訊保安認證課程,他表示,在保安行業的認證以CISSP(Certified Information Systems Security Professional)較為熱門,課程涉獵範疇包括身分認證、資產管理、應用程式安全等,不少機構如銀行也會將網絡保安認證列為入職要求。
Shell表示,隨著黑客攻擊事故出現,自2017年開始網絡保安行業興起,市場對這類人才的需求也有所上升。一些機構本對資訊安全未見重視,直至發生資料外洩事故,他們才考慮投放資源以加強網絡系統安全:
「當事故發生的時候,自然會有時間、資源和預算放進去,他們就會開始著重資訊安全,會發覺自己現有的技術和知識未必符合最新的趨勢。」