方保僑批評數碼港系統無兩步驗證屬疏忽。(資料圖片/陳奕釗攝)
數碼港去年8月電腦系統遭到黑客攻擊,外洩大量個人資料。個人資料私隱專員公署力數數碼港「五宗罪」,包括資訊系統欠缺有效的偵測措施、未有為遠端存取資料啟用多重認證功能、對資訊系統進行的保安審計不足、資訊保安政策有欠具體,以及個人資料被不必要地保留。
香港資訊科技商會榮譽會長方保僑表示,數碼港不應該被「暴力攻擊」撞密碼攻破,而數碼港沒有使用兩步驗證技術,導致失守,屬於疏忽,「用iPhone打多幾次(密碼),都唔俾你用住,撞多幾次,個(暫停)時間會褪長落去」。他又指,數碼港每兩年做一次系統評估和保安審計是不足,因現時網絡攻擊嚴重,建議企業每半年做一次較理想,系統更新後亦應評估風險,「加一部電腦都會對系統有影響」,但他估計系統的漏洞應於上一次19個月前的保安審計時已被發現,但未有修正。
方指其他企業未受攻擊僅「好彩」
至於系統被入侵後,黑客關閉系統反惡意軟件的功能,方保僑表示,間諜軟件與反間諜軟件的關係似攻防戰,當間諜軟件進入系統,取得管理員帳戶,亦懂得識別反間諜軟件或防毒軟件,會關閉或截斷反間諜軟件的迴路,加裝更多反間諜軟件,保障會更大,但非百分百安全。
他相信,本港企業普遍網絡保安意識不足,希望其他公司借鏡,經常更新防火牆、新儀器,以及加強員工意識,避免點擊釣魚軟件,「相信(其他公司)更差嘅情況會發生,黑客未攻擊,只係好彩。」
