去年8月數碼港遭黑客入侵至洩漏逾13,000人的個人資料事故,電腦安全研究員賴灼東認為,數碼港應向受影響人士作出賠償,此能顧及受害者的感受,才是有道德的管理層。他認為數碼港現時採取的多項補救措施,只是最基礎級別的措施,全無驚喜,但攻擊者卻仍會陸續有來,數碼港應至少半年或一年一次進行保安審計。
發生洩漏資料事故後,私隱專員公署介入調查,並於昨日發表調查報告,指出多項數碼港的資訊安全漏洞,而該公司亦向外公布一系列補救措施。
賴灼東今早(3日)接受一個電台節目訪問時表示,數碼港是作為數碼管理行業的一家標誌性機構,若承認錯誤,希望做得更好,就要向資料洩漏的受害人作出賠償,並把這事放在最前,以顧及受害者的感受,這才是有道德的管理層。
他指「因為你不是普通ABC公司,而是數碼管理公司,所以不要當打份工的心態去思考,否則就影響形象。」,他調侃地指出了該公司在事故中的偏差:「有些資料自2016年保存至現在,你想你是博物館嗎?你不是博物館嘛!你管理層由頭到尾都沒有執行過(妥善的安全措施)嘛!」
賴灼東認為像數碼港這樣大型的機構應要做到的安全措施,而又沒有做到的,例如設有第三方監測的反惡意軟件功能。私隱專員公署的調查報告提及,今次事故是黑客取得數碼港內有管理員權限的帳戶,成功把系統內的反惡意軟件功能刪除,期間數碼港沒有作出偵測,以致黑客得以進入其系統。賴灼東指出,如果發生管理員刪除某些軟手或系統,是敏感的動作,必須告知第三方電腦的侍服器,作即時監測,然後通知當值人員,以便知道發生了事故,但今次事件中,數碼港沒有作出這種安全監察。
賴灼東又批評,對數碼港隔19個月才做一次保安審計表驚訝,他說一些規模不及數碼港的公司,都至少半年至一年一次作保安審計,數碼港亦應這樣做。
回應私隱專員公署的調查報告,數碼港表示已作了多項措施作補救,包括鞏固網絡安全屏障、防護偵測網絡攻擊及入侵功能、成功堵截後續網絡攻擊、委託第三方作定期網絡監測及防止黑客入侵測試等。
然而,賴灼東認為這些措施只是「level 101水平」(最基礎級別),只是應份做的工作,他對此全無驚喜。他提醒,不要以為黑客不會再攻擊,反而要準備他們會有第二次、第三次越來越高階的攻擊,每天都在打仗,必須作好準備。@
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
