【網絡保安】消委會資安不足洩漏資料　業界：《網安法》無阻黑客

港府的網絡安全響起警號，在兩個月內，數碼港與消委會這兩個半官方機構遭黑客入侵，對方用盜取的個人資料勒索機構，兩間機構均報警處理。消委會周五（22日）見記者時表示，月刊訂戶、員工與投訴人士的資料被盜取，但未能估計實際受影響的人數與被盜取的資料數量與內容。特首擬於今年就《網絡安全法》諮詢公眾，業界批評，港府將《網絡安全法》與保障個人私隱一起討論是混淆視聽，連續發生洩漏私隱事件，反映機構的資安水平與教育不足，與擬訂立的《網絡安全法》無關。

消委會稱不清楚被盜取數據內容　未能做到百分百「防彈」

消費者委員會周五（22日）確認電腦系統遭黑客入侵7小時，估計涉及4類人士的資料，包括員工、前員工及求職者的身份證號碼及住址；《選擇》月刊訂戶，包括8000名曾提供信用卡資料的用戶；曾向消委會投訴的人及合作伙伴，當中涉及公司地址、電郵及電話號碼等資料。

消委會透露，周三（20日）早上黑客以勒索軟件惡意入侵，對方稱已從電腦系統盜取內部資料，黑客要求消委會周六（23日）晚上11時20分前，繳交50萬美元「贖金」，若遲於該時限則要交70萬美元；消委會強調不會繳交，已報警處理。

消委會主席陳錦榮指，未能估計受影響的人數、資料內容及容量，但已初步了解「黑客」入侵的途徑，起因並非由員工點擊釣魚信息引起，消委會就資料外洩向公眾致歉。消委會總幹事黃鳳嫺指出，消委會有定期做風險評估的強度測試、授權模擬攻擊的滲透測試，主要伺服器的漏洞掃描及安全意識培訓等。

黃鳳嫺說：其實現在的科技真的很厲害，黑客是無孔不入，手法是層出不窮。其實他們的做法就是，不斷去不同的地方試行撞入系統，其實就算我們即使花了多少資源也好，其實也很難做到一個系統，完全叫Bulletproof ，一個「防彈」的狀態。

業界批評消委會卸責、透明度不足 

香港互聯網協會開放數據小組召集人黃浩華表示，事件反映半官方機構對資安的意識不足，資安系統出現嚴重漏洞，不然黑客不能這樣快速入侵，消委會不能託詞「黑客是無孔不入」，至少要向公眾交待黑客入侵的途徑。

黃浩華說：（消委會）對於資料洩漏的範圍好像不是太掌握，這是令人震驚的。要看勒索那些人放幾多資料，他才知道受影響的範圍，其實是很被動的。假設勒索人分兩次或三次放出來，我們便每次都不知道自己會洩漏些甚麼。

業界：立《網絡安全法》阻不了黑客入侵

特首李家超去年（2022年）在《施政報告》提出《網絡安全法》，將網絡安全連繫到國家安全，指今年將向公眾諮詢，提升基礎設施網絡安全，涵蓋範圍包括水、電、煤、機場、金融及交通等基礎設施。

兩個月內數碼港與消委會先後出現洩漏資料風波，原訂在今年內諮詢公眾的《網絡安全法》可否遏止黑客入侵之風？黃浩華指，《網絡安全法》是懲處黑客的法例，港府將《網絡安全法》與保障私隱混為一談是錯誤的；為防止黑客入侵，機構應做好資安的預防措施，建議港府應立《資料保護法》，監察收集個人資料的機構，有履行保護資料的責任。

黃浩華說：就算你有《網絡安全法》其實都是事情發生之後的，特別是對於資料洩漏，發生之後就算黑客被抓也好，甚麼都好，洩漏事件是阻止不了。

黃浩華又指出，《網絡安全法》涉及跨國執法與國際的網絡法例，港府應該給予充足的時間諮詢業界。

數碼港早前發現被黑客入侵，黑客持有超過400GB數碼港的資料，其中包括初創公司職員的身份證明文件、公司文件及照片等，黑客就資料要求數碼港繳付235萬港元，數碼港於8月18日通報私隱專員公署，延後半個月才向公眾交待。

記者：張仕仁　責編：李世民　網編：江復