提升網絡安全意識 建可靠防線禦黑客

香港網絡安全再響起警號，繼數碼港之後，消委會也遭黑客入侵，大量個人資料被竊，並遭勒索贖金。事件反映公營機構網絡安全不足，其他公私營機構更應引以為鑑，盡快檢視電腦系統並進行升級，還要加強員工對網絡風險防範意識，以免成為下一個受害者。

消委會電腦系統周二晚遭黑客以勒索軟件惡意入侵，8成系統受到破壞，暫時不清楚甚麼資料被竊，估計涉及4類人士資料，包括員工、前員工及求職人士的資料、《選擇》月刊訂戶的信用卡資料、曾向消委會投訴人士及合作夥伴的資料。
黑客用AI提升攻擊能力

雖然消委會迅速報警並向公眾交代事件始末，反應明顯比數碼港遲了半個月才交代資料外洩一事快得多，但一個月內有兩間公營機構被黑客入侵，卻讓公眾感到驚訝，質疑其網絡系統如此不堪一擊。數碼港資料外洩，歸根究柢是人為疏忽所致，但消委會強調事件不涉員工錯誤點擊釣魚網站，而是網絡安全問題，並掌握黑客入侵的源頭和細節，只因要配合警方調查而不向公眾公布。

黑客犯案手法，通常以隨機方式攻擊大型機構的不同系統或軟件的保安漏洞，或以網絡釣魚方式誘騙用戶開啟惡意電郵，再利用惡意程式入侵系統，然後掃描系統內的各個檔案，尋找並盜竊有價值的資料，例如個人資料、公司財務及機密資料，再威脅發布或出售資料來勒索受害機構，以索取贖金。

今次消委會強調不涉人為疏忽，自身又定期更新系統軟件和進行安全風險評估，依然出事，估計有兩個可能：一是其所使用的電腦系統軟件存在漏洞；二是黑客技術更勝一籌，即使消委會投入不少資源在電腦系統，依然無法做到百毒不侵。

黑客無處不在，亦無孔不入，令人防不勝防，確是不爭事實，但不能因為消委會網絡安全出問題而妄下定論，指坊間現有防火牆軟件沒有用。事實上，科技日新月異，黑客不斷學習新技術來提升攻擊能力，正利用人工智能（AI）協助編寫一些可瞞過傳統防病毒軟件的惡意程式和電郵、幾可亂真的Deepfake圖像，而防火牆和防病毒軟件未必能及時追上黑客技術升級速度，才讓黑客有機可乘。
須定期更新網絡軟硬件

兩宗資料外洩事件均反映公營機構網絡安全有不足之處，對全港公私營機構起了警示作用。黑客入侵並非個別事件，公私營機構切勿心存僥倖，應即時檢視自身網絡系統的軟硬件是否有安全漏洞，並盡快作出修補，除了定期更新防火牆、入侵檢測系統和防病毒軟件，更要與時並進，提防黑客通過操縱AI算法來入侵系統，最佳方法是加強網絡安全措施，對敏感資料進行加密處理，並採取多重身份驗證。

與此同時，公私營機構亦要加強對員工的網絡安全培訓，讓其了解最新網絡威脅，提高識別網絡釣魚訊息的能力，並加強員工對網絡安全的防範意識，除了不要隨意下載或點擊可疑網站和電郵外，更要定期更改密碼、使用多重身份驗證來提高帳戶的安全性，以及要求定期對重要文件和數據做檔案備份，離線儲存和加密備份，才能在網絡攻防戰中建立更安全可靠防線，抵禦黑客入侵。