黑客入侵事件频生 消委会、数码港也中招 专家分享降低风险方法
近来黑客入侵事件频发,香港桂冠论坛、数码港、消费者委员会、香港芭蕾舞团等机构接连发现电脑系统遭黑客恶意入侵,导致系统大规模受到破坏、资料外泄。黑客普遍采用勒索软件(ransomware)的方式入侵企业系统,事故陆续波及公私营机构与政府部门,人人自危。系统的漏洞可否被修补?企业又应该如何应对?
11月举行、一连六日的首届“香港桂冠论坛”由特首李家超主持开幕礼,活动邀请了来自世界各地的科学家进行学术交流,包括20多位“邵逸夫奖”得奖者,吸引各大传媒采访。但在开幕前不足两个月,9月27日,黑客突然来访扰乱了论坛的筹备工作。
“早上回到办公室,我和同事发现无法打开电脑里的一些档案。”香港桂冠论坛助理传讯及活动经理周仲仁忆述被黑客入侵当日,于伺服器房间检查的情形,只见电脑屏幕上有一个勒索软件的讯息,指机构的所有档案已被加密,需要在24小时内根据要求购买比特币,才能解锁。周表示,本来为了方便同事互相存取资料,所有的工作档案皆储存在中央伺服器中,未料却受黑客直接攻击,结果导致接近九成的内部资料都被黑客掌握在手并被上锁加密,无法如常工作。
用VPN也会增加被入侵风险?一图看清香港机构资料外泄事件簿(点图了解更多):
不乏安全意识仍中招 事故后工作难以复常
筹办桂冠论坛的委员会由20人左右组成,委员会主席为理大前校长唐伟章,成员包括前全国人大常委范徐丽泰、行政会议成员任志刚,负责制定机构方向,日常工作则由机构辖下的秘书处成员负责。周仲仁说,由于机构规模较小,所以没有专门负责资讯科技的员工,较依赖外判供应商提供资讯科技的专业知识,并由他们帮助机构配置资讯安全的设备。当初根据外判供应商建议,机构内部已设立用于抵御外来攻击的防火墙和入侵者检测系统,同时也在电脑上安装了防毒软件等。公司会定期提醒同事注意资讯安全,相信他们不乏网络安全意识,不会随意点击不明邮件连结。“即使有意识也好,都未必(能)百分百防止这些事情发生。”
被黑客存取及加密了的资料,大部分涉及工作档案,亦包括参与论坛的邵逸夫奖得奖者的联络资料,估计受影响人数约550人。该黑客入侵事故发生在9月底,过了一个多月,香港桂冠论坛委员会的办公室全数14部电脑依然未能如常运作,只能依靠临时电脑系统。突如其来的意外让所有人都措手不及,周坦言9月和10月是筹备工作的高峰期,机构被黑客入侵后,大家在准备论坛的同时,还要额外修复档案,令员工疲于奔命:“有部分档案要重新再做,另外如果找得到在电邮发出去的(附件),都会拿回来做一些更新。”
防护设备未完善 致资料被大量盗取
庞博文是讯息安全专家,在八十年代开始服务于加拿大的执法机关和四大会计师事务所,做鉴证调查和攻击测试。他表示,一间机构须安装四层防火墙,分别用作隔离外界入侵、允许登入及使用软件、分隔数据库以及监察内部员工的网络使用,才称得上是较为安全的系统及网络。但据他了解,现时规模较小的公司或机构只安装一层用作阻挡内部网络受外部入侵的防火墙,机构伺服器缺乏应有的多重保护,因此黑客才能轻易攻破墙,令事故频生。
他续指,不少机构将大量资料单一存放在中央伺服器的做法并不可取。今年8月,香港数码港管理有限公司被勒索软件攻击伺服器,黑客盗取的资料达400GB,数码港在2013至2023年间的资料在单次事故中被全部盗取,牵涉员工个人资料,包括联络方法、薪金、信用咭资料,还有数码港与商业机构、政府往来的文件。庞博文估计,公司在保护系统本身未有足够防护,且内部只有一个储存系统,不论新旧资料皆集中储存在其中,导致受影响范围甚大。他认为该公司缺乏资讯安全意识,比喻说:“一个超级市场的糖果架,被人偷一两包糖是正常的。但被人整个糖果架搬走,这件事就非常不正常。本身做得不好,对方随随便便都能够攻击他们。”
今年10月中旬,香港邮政发生资料外泄事故,指有未经授权人士“多次尝试及猜测”后取得帐户持有人的登记电邮地址。翻查资料,香港邮政于2022年9月斥资五万港元完成了保安风险评估及审计 (SRAA)。据政府资讯科技总监办公室2021年的《基准资讯科技保安政策》,政府部门的资讯系统需至少每两年进行一次保安风险评估,确保部门的网络保安达合标准的水平。
庞博文形容,此金额不足以替一个政府部门进行合标准的测试及审查:“邮局这一类大型政府部门,动辄有几百个伺服器,我们收费的计算方法是基于系统数量计算,五万元只可做一个最简单的漏洞扫描,没办法做攻击测试。”庞认为部门未有妥善完成基础的安全测试,所以增加了资料外泄事故的风险。
公司管理资料应力臻完善 对付黑客有法
近来接二连三发生的资料外泄事故,牵涉各类规模的机构,受影响人数难以估量,反映企业或政府部门在保障资讯安全上有疏漏。庞博文分析指,近日的个案中,不乏管理资讯欠妥善而遭黑客攻击的机构,例如桂冠论坛等公司,建议企业在管理及储存资料上多加留意,以降低被黑客入侵系统时的受制范围。
他提出在设置公司系统存放资料时应:
.将公司部门资料分门别类,储存在不同伺服器。
.加密档案资料及数据库,令入侵者因需时解密,而降低攻击意欲。
.做妥补丁程序(service patch management),即确保系统更新至最新版本,以协助系统修复漏洞,防止黑客透过漏洞入侵企业内部系统。
.从多个途径备份资料与档案,即使储存备份资料的伺服器被攻击时,亦有其他途径开启档案。
他又建议企业在软件上需设置充足的资讯安全设备,保护网络资产:
.设置足够防火墙,阻挡来自外部网络的入侵。
.具备入侵者检测系统,检查所有获授权进入内部网络的资料是否包含可疑活动。
.安装防毒软件,检查已授权使用的档案中是否含有病毒。
庞博文说,碍于不少公司及企业资源有限,难以设立绝对安全的系统,他强调,若未能使资讯安全设备完善,在不使用电脑时将其关掉,已是防止黑客入侵系统最直接的方法,因为黑客难以在电脑关机的情况下入侵该网络。“如果我是一个黑客,你对付我最好的方法就是关机,你都不存在在我(的)世界里,我怎样入侵你?”
无线网络成漏洞 被入侵或与黑客技术无关
除了储存资料的系统容易成为黑客目标,现在大家每日都使用的无线网络(Wi-Fi)及虚拟专用网络 (VPN)原来都是黑客常钻的漏洞,以盗取个人资料作勒索用途。香港中文大学信息工程系教授周思骁与研究团队日前针对企业使用的Wi-Fi 及VPN 进行研究及测试,结果发现当中有不少在设置或开发上出现漏洞,令个人帐户密码能在不知情的情况下被黑客偷取,反映不少用户正使用不安全的无线网络设定。
黑客大规模地在网上寻找漏洞,试图进入网络中对系统进行攻击。周教授指,其实勒索软件多年来模式如出一彻,但对于本港接连有机构出事,他解释,有机会是用户密码被偷取,黑客获得资料存取权,轻易入侵系统,继而获得资料,与黑客本身的技术没有直接关系:“我们同学毕业都写得到勒索软件 (ransomware),不是很难的东西,难处只是在于第一步如何进入你要入侵的网络中。”周教授坦言,入侵事故防不胜防,因此要有恒常的备份习惯及充裕的备份途径,就算被入侵及盗取资料,对企业的影响也能降至最低。
企业需求渐增 报读资讯保安课程成趋势
不少企业在检视内部系统安全的同时,亦会加强员工的网络安全知识。坊间有不少国际网络保安认证课程,教授资讯保安知识。导师Shell在KornerStone教授资讯保安认证课程,他表示,在保安行业的认证以CISSP(Certified Information Systems Security Professional)较为热门,课程涉猎范畴包括身分认证、资产管理、应用程式安全等,不少机构如银行也会将网络保安认证列为入职要求。
Shell表示,随著黑客攻击事故出现,自2017年开始网络保安行业兴起,市场对这类人才的需求也有所上升。一些机构本对资讯安全未见重视,直至发生资料外泄事故,他们才考虑投放资源以加强网络系统安全:“当事故发生的时候,自然会有时间、资源和预算放进去,他们就会开始著重资讯安全,会发觉自己现有的技术和知识未必符合最新的趋势。”
【本文获香港中文大学新闻与传播学院实习刊物《大学线》授权转载,原文:黑客无情勒索 企业如何自保?】