立場新聞 Stand News

駭客猖獗 網絡保安不濟?

2018/10/23 — 15:39

資料圖片,來源:The Digital Artist @Pixabay

資料圖片,來源:The Digital Artist @Pixabay

不少大企業都曾傳出系統被駭、客戶資料外洩等,令「網絡保安」一詞逐漸為人認識。因為它的普及,有些朋友會將我的聯絡轉介予身邊有網絡保安需要的朋友或公司,以為是玉成一樁好事,但事情最後往往未如人願。

早前有朋友向我求助,指其公司的系統一個月前被駭客入侵,所有重要檔案都被加密鎖上,必須繳付贖金才能取得解鎖密碼。朋友依指示付款,成功取回檔案,不料一個月後,食髓知味的駭客重施故技,結果這位朋友找上我,希望我的團隊能幫忙解決問題。團隊評估情況後認為束手無策,因為該公司並無汲取上次的教訓,沒有離線備份或多做幾個備份,唯有付款一途。我們團隊再次向對方建議了一些基本的保安措施,例如改變日常工作流程,如不同帳戶要有不同密碼、分散密碼存放,令沒有一個人能知道所有系統密碼之類,同時亦要定期更新操作系統、為公司的網絡系統做漏洞檢測等等。但朋友知悉後頗為不滿,甚至覺得不能接受。

我相信這位朋友的經歷不是單一事件,而他對網絡保安服務的不滿更是相當普遍,原因是大部分人對這事都充滿誤解。

廣告

誤解之一就是受電影情節影響,以為現實世界裏真有一些 IT 高手,只須輕掃一輪鍵盤就可寫出一個無敵的系統,然後輸入一句指令即可追蹤到駭客位置,三扒兩撥就可破案。事實是,高手確實存在,但他們並非坐在電腦前按幾下就可解決問題,更沒有「無敵系統」。相反,網絡保安問題不但牽涉大量分析和測試工作,更需要使用者配合,放棄本來便捷的做法來增強保安程度,甚至到達一個連使用者都覺得不方便的狀態。方便跟保安極難同時兼顧,世上亦根本沒有「牢不可破」的系統,我們能做的,就是加多幾道防線,增加賊人付出的時間和心力,令其成本增加,再因為回報不及成本而打消念頭。捨難取易是人的天性,所以要令賊人不想下手,先要令自己都覺得煩厭。

另外一個常見的誤解就是以為保安工作可以一勞永逸。傳統企業的管理層愛以一句「我唔識 IT」作為擋箭牌,往往覺得「你們是專家,我出錢,你一定可以幫我搞掂佢」,只須花費指定金額,就能解決所有問題,所以當他們知道網絡保安需要長期投放資源,而且就算願意付出亦不等於完全與保安問題絕緣時,通常都會認定是眼前的IT人未夠班,不能做到天下無敵。所以,網絡保安絕對是一門「財只入急門」的生意,因為只當用戶心急求救時,才願意跟你花錢談保安,至於甚麼長線規劃、長期投資,統統不了。

廣告

這位朋友最後並無向我們進一步查詢其他網絡保安服務的細節,對此,我覺得相當遺憾,但更令我遺憾的,是這種迷信「天下無敵 IT 高人」、「牢不可破系統」的想法很普遍,而我們似乎不能做些甚麼去改變這事。正因如此,駭客市場只會越來越大,而香港更是他們落手的一個上佳地點,原因為何?下次再談。

作者製圖

作者製圖

 

本文 10 月 23 日刊登於《明報》專欄「財科暗戰」,上為加長版

發表意見