他續指，不少機構將大量資料單一存放在中央伺服器的                         今年10月中旬，香港郵政發生資料外洩事故，指有未經
            做法並不可取。今年8月，香港數碼港管理有限公司被勒索                        授權人士「多次嘗試及猜測」後取得帳戶持有人的登記電
            軟件攻擊伺服器，黑客盜取的資料達400GB，數碼港在2013                    郵地址。翻查資料，香港郵政於2022年9月斥資五萬港元完
            至2023年間的資料在單次事故中被全部盜取，牽涉員工個                       成了保安風險評估及審計  (SRAA)。據政府資訊科技總監辦
            人資料，包括聯絡方法、薪金、信用咭資料，還有數碼港                         公室2021年的《基準資訊科技保安政策》，政府部門的資
            與商業機構、政府往來的文件。龐博文估計，公司在保護                         訊系統需至少每兩年進行一次保安風險評估，確保部門的
            系統本身未有足夠防護，且內部只有一個儲存系統，不論                         網絡保安達合標準的水平。
            新舊資料皆集中儲存在其中，導致受影響範圍甚大。他認
                                                                 龐博文形容，此金額不足以替一個政府部門進行合標
            為該公司缺乏資訊安全意識，比喻說：
                                                              準的測試及審查：「郵局這一類大型政府部門，動輒有幾
               「一個超級市場的糖果架，被人偷一兩包糖是正                          百個伺服器，我們收費的計算方法是基於系統數量計算，
               常的。但被人整個糖果架搬走，這件事就非常不                          五萬元只可做一個最簡單的漏洞掃描，沒辦法做攻擊測
                                                              試。」龐認為部門未有妥善完成基礎的安全測試，所以增
               正常。本身做得不好，對方隨隨便便都能夠攻擊
                                                              加了資料外洩事故的風險。
               他們。」

























                                                              香港郵政於2022年進行的保安風驗評估及審計（SRAA)  （來源：
                                                              SOA-QPS5 優質資訊科技專業服務常備承辦協議批出的服務）














            翻查暗網，數碼港被黑客公開的資料涉及機構內部資料，包括財務
            資料。（來源：Trigona 暗網截圖）











       58   大學線月刊 2023年12月