做足措施防勒索 黑客最怕網絡保安 – StartupBeat

做足措施防勒索 黑客最怕網絡保安

By on May 19, 2017

原文刊於信報財經新聞專欄「StartupBeat 創科鬥室

對不少上市公司而言,網絡攻擊除了造成金錢損失,更有可能打擊商譽。(Pakutaso網上圖片)

網絡攻擊除了造成金錢損失,更有可能打擊商譽。(Pakutaso網上圖片)

黑客最近向迪士尼勒索,揚言若不交巨額贖金,就把盜取的魔盜王系列新片《加勒比海盜:惡靈啟航》在網上免費播出。不久之前,串流媒體平台Netflix亦中招,被黑客偷取《勁爆女子監獄》(Orange is the New Black) 最新一季劇集,然後勒索巨款,由於Netflix不肯就範,黑客便提早在網上播放該劇報復,令Netflix蒙受損失。黑客入侵事件頻頻發生,《信報》 StartupBeat特別請來香港資訊科技商會資訊保安召集人范健文(Eric Fan),分享如何做好網絡保安工作。

主持:尹思哲 《信報》科技編輯

嘉賓:范健文 香港資訊科技商會 資訊保安召集人

尹:Netflix遭黑客盜取《勁爆女子監獄》第五季劇集,這套劇原定6月才播映,但黑客已把整套劇集放在Pirate bay網站任人下載,Netflix損失很大吧?

罪犯取易不取難

范:企業大灑金錢拍攝影片,但到了後期的製作階段,通常外判出去代為處理。當影片加工完畢後,製作公司便把它放上網,此舉容易招惹黑客趁機盜取,結果這影片的巨額投資在一夜間化為烏有。

尹:Netflix向來不計成本製作劇集,籌備一輯電視劇的費用已足以在香港拍攝一齣電影。既然保安工夫做足,為何仍會出事?

范:Netflix做了許多資訊保安的措施,但他們旗下的製作公司又是否一樣做足防範工作?這是未必的。就像今次Netflix遭黑客勒索事件,都 是源於合作的製作公司被入侵才洩漏劇集。如今黑客懂得鎖定攻擊目標,當他們決定勒索Netflix時,便會搜尋相關的製作公司名單,再伺機入侵系統,所以 我想提醒企業要留意自己的合作單位有否做足網絡保安措施。

門檻低回報豐厚

尹:黑客行事手法隨着年代轉變, 九十年代互聯網未算普及,黑客盜取信用卡資料居多,受害人損失有限。現時黑客多入侵企業, 而盜取資料涉及的金額或比街頭劫案高出很多倍。

范:早前我出席一個座談會,警方指網上罪行的增幅已高於街上的罪案。加密勒索軟件攻擊頻密,網上更有相關的製作教材,只要交500元即可學會。學成後,每次可向他人勒索幾千元,回報很可觀。這讓人覺得網絡攻擊是一盤大生意,更化身黑客入侵程式漏洞,不必再在街上偷人銀包。

尹:最近有一間專做Cyber Risk Auditor的公司,宣布獲得2000萬美元的融資,到底他們做什麼工作?

范:簡單來說,Cyber Risk Auditor專為企業做網絡安全風險評估,例如Netflix想知道合作的製作公司到底有否做好保安措施,他們便為對方做評核,就像信用卡公司處理申請時,會向第三方的信貸評級機構查詢申請者的財務狀況,再決定是否發卡。

批判杜絕假新聞

尹:話分兩頭,近日有科技界朋友指出,某個共享單車的手機應用程式存在保安漏洞,例如欠缺SSL(安全編碼傳輸技術),你對此有何看法?

范:我在兩年前跟個人資料私隱專員公署及香港生產力促進局合作做研究,發現300多個本地手機應用程式,有些竟沒有SSL技術。到了今時今日,當手機應用程式含有個人資料,包括用戶的信用卡號碼,若程式沒有SSL是不能接受。

我看到新聞,那個共享單車平台的創辦人說,他只花了2個月開發應用程式,或因檢查時間不足而出事。初創公司為確保質素,不應倉卒開發程式,大家一向覺得,黑客是深不可測的網絡高手,事實上,他們只是一個程式員,軟件有漏洞才會令他們有機可乘。

尹:去年美國總統大選,網絡充斥假新聞意圖影響選情,這些假新聞跟網絡保安有否關係?

范:其實是有關係。在網上受到攻擊,損失的不一定是錢,聲譽亦然。例如本地某個零售集團在公布業績前,有內容農場散播假新聞,謠傳該集團虧損幾億,結果拖累股價下跌。

為防止假新聞肆意散播,本地有一款手機應用程式,當用戶打開內容農場網頁時,程式會隨即封鎖網絡,但我們很難一下子就能以科技解決問題。我會提醒大家:切勿跟車太貼,別見到有趣的新聞就急急轉載出去,應有批判性思考,細心研究內容真偽,才再轉發出去。

註:以上嘉賓訪問均屬個人意見,與本報立場無關。

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們