數碼港上月中發現懷疑黑客入侵,連行政總裁在內大批員工身份證號碼、薪金等私隱,前天於「暗網」悉數公開。今次不僅園方應對左支右絀,大幅延遲承認失守,尤受詬病,政府事後應急補救,也慢了不下數拍。數碼港是本港金融科技旗艦,租戶商業機密一旦外洩,可致重大損失,亦會挫損全城致力建立的創科名聲,各方有必要全面檢討技術應用、人才供應和法規保障的不同疏失,以求亡羊補牢。
數碼港遲公布 科企無從自救
梳理國際網絡勒索組織Trigona竊取逾400GB資料的時序,可見數碼港8月中已通知警方及私隱專員公署,但一直到第三方網絡安全平台上周二揭發事件,園方才首發稿對外確認;直至資料前天再於暗網任人翻閱,始再出新聞稿證實,包括個人聯絡方法和少量信用卡資料等失守。
數碼港解釋,推遲公布是因為最初認為個人資料沒被不當動用,不想引起不必要恐慌。有別園方公開講法,多家傳媒均找到前員工指摘,從未接獲正式通知,有憂慮私隱可被用來借錢。這與港機工程3月趕於勒索軟件組織發布員工數據前,已詳細交代細節和善後工作,大相逕庭。
事實上,暗網洩出的資料遠多於數碼港所承認,不僅包括身份證副本、銀行帳戶、婚姻證書,更有海量公司財務狀況、商業計劃、政府文件和法律信函,猶如為競爭對手和國家送上大禮。園方事發後據報曾向租戶發信,但一眾初企早沒機會,討論不同的自救方案。
數碼港作為本地兩大創科旗手之一,滙聚近2,000間科企、數之不盡精英,卻不僅把機密資料放在共享硬碟,外洩後竟仍曾評估性質不太敏感,令人側目。電腦安全專家賴灼東相信,Trigona是利用或已存在以年計的網絡漏洞入侵,質疑園方沒有定期檢查服務器及加密。
政府補救緩慢 違規阻嚇不足
據科企Palo Alto Networks數月前公布,亞太區勒索軟件攻擊按年升了35.4%,香港案例躍增兩倍;Fortinet也指出,多達66%本港受訪組織認為,相關人才、技能短缺,令網絡風險大增,逾半過去1年曾花逾100萬美元事後補救。
創科局局長孫東昨表示,已緊急指示資科辦採取必要措施,對方前晚連夜發電郵敦促各部門及公營機構檢討數據安全。
即使局方沒留意環球黑客攻擊與日俱增,包括美國公私機構6月已曾有數以百萬計國民個人資訊一口氣失竊;若非心存僥倖,當局不是早應在數碼港通布時,第一時間警告科技園、金管局等機構,響應數碼港初創Cyberbay過去兩個月與警務處所辦的「狩網運動」,身體力行提升網絡安全和威脅意識?
網絡罪行必須嚴厲譴責,但數碼港絕不應單純以受害者自居,因為直接蒙受損失者,更是私隱被公諸於世的員工和租戶。比起歐盟和新加坡等地均可判處天價罰款,嚴懲未能妥善保障個人資料的機構,本港私隱署縱已展開循規審查,卻主要是尋求糾正,重犯者最高也不過罰10萬元,阻嚇力望塵莫及,亟待提升。
《說說心理話》情緒勒索任何關係均有機會發生 如何走出情緒勒索循環?► 即睇
