【網絡保安】消委會資安不足洩漏資料 業界:《網安法》無阻黑客
港府的網絡安全響起警號,在兩個月內,數碼港與消委會這兩個半官方機構遭黑客入侵,對方用盜取的個人資料勒索機構,兩間機構均報警處理。消委會周五(22日)見記者時表示,月刊訂戶、員工與投訴人士的資料被盜取,但未能估計實際受影響的人數與被盜取的資料數量與內容。特首擬於今年就《網絡安全法》諮詢公眾,業界批評,港府將《網絡安全法》與保障個人私隱一起討論是混淆視聽,連續發生洩漏私隱事件,反映機構的資安水平與教育不足,與擬訂立的《網絡安全法》無關。
消委會稱不清楚被盜取數據內容 未能做到百分百「防彈」
消費者委員會周五(22日)確認電腦系統遭黑客入侵7小時,估計涉及4類人士的資料,包括員工、前員工及求職者的身份證號碼及住址;《選擇》月刊訂戶,包括8000名曾提供信用卡資料的用戶;曾向消委會投訴的人及合作伙伴,當中涉及公司地址、電郵及電話號碼等資料。
消委會透露,周三(20日)早上黑客以勒索軟件惡意入侵,對方稱已從電腦系統盜取內部資料,黑客要求消委會周六(23日)晚上11時20分前,繳交50萬美元「贖金」,若遲於該時限則要交70萬美元;消委會強調不會繳交,已報警處理。

消委會主席陳錦榮指,未能估計受影響的人數、資料內容及容量,但已初步了解「黑客」入侵的途徑,起因並非由員工點擊釣魚信息引起,消委會就資料外洩向公眾致歉。消委會總幹事黃鳳嫺指出,消委會有定期做風險評估的強度測試、授權模擬攻擊的滲透測試,主要伺服器的漏洞掃描及安全意識培訓等。
黃鳳嫺說:其實現在的科技真的很厲害,黑客是無孔不入,手法是層出不窮。其實他們的做法就是,不斷去不同的地方試行撞入系統,其實就算我們即使花了多少資源也好,其實也很難做到一個系統,完全叫Bulletproof ,一個「防彈」的狀態。

業界批評消委會卸責、透明度不足
香港互聯網協會開放數據小組召集人黃浩華表示,事件反映半官方機構對資安的意識不足,資安系統出現嚴重漏洞,不然黑客不能這樣快速入侵,消委會不能託詞「黑客是無孔不入」,至少要向公眾交待黑客入侵的途徑。
黃浩華說:(消委會)對於資料洩漏的範圍好像不是太掌握,這是令人震驚的。要看勒索那些人放幾多資料,他才知道受影響的範圍,其實是很被動的。假設勒索人分兩次或三次放出來,我們便每次都不知道自己會洩漏些甚麼。
業界:立《網絡安全法》阻不了黑客入侵
特首李家超去年(2022年)在《施政報告》提出《網絡安全法》,將網絡安全連繫到國家安全,指今年將向公眾諮詢,提升基礎設施網絡安全,涵蓋範圍包括水、電、煤、機場、金融及交通等基礎設施。
兩個月內數碼港與消委會先後出現洩漏資料風波,原訂在今年內諮詢公眾的《網絡安全法》可否遏止黑客入侵之風?黃浩華指,《網絡安全法》是懲處黑客的法例,港府將《網絡安全法》與保障私隱混為一談是錯誤的;為防止黑客入侵,機構應做好資安的預防措施,建議港府應立《資料保護法》,監察收集個人資料的機構,有履行保護資料的責任。
黃浩華說:就算你有《網絡安全法》其實都是事情發生之後的,特別是對於資料洩漏,發生之後就算黑客被抓也好,甚麼都好,洩漏事件是阻止不了。
黃浩華又指出,《網絡安全法》涉及跨國執法與國際的網絡法例,港府應該給予充足的時間諮詢業界。
數碼港早前發現被黑客入侵,黑客持有超過400GB數碼港的資料,其中包括初創公司職員的身份證明文件、公司文件及照片等,黑客就資料要求數碼港繳付235萬港元,數碼港於8月18日通報私隱專員公署,延後半個月才向公眾交待。
記者:張仕仁 責編:李世民 網編:江復