本地化資訊保安管理政策的制訂

2007-08-14
  配合高效率及高質素的法律、金融及物流系統,再加上「背靠祖國,面向世界」的有利市場條件,香港是極有潛質成為區內的電子商務中心。但現今猖獗的網上罪行,必會構成很大的障礙,所以本港的政商學界對此問題,都不容掉以輕心。

  隨著資訊及通訊科技日新月異,全球互聯網應用越來越普及化,電子商務、電子政府等應用,已成為不少歐美國家的基本網上服務。在網絡世界中,所有應用系統的靈魂,是它背後所擁有的資訊。有專家認為「資訊是皇」(Information is King),任何人若能捷足先登獲取並適當地運用有利的資訊,便能傲視群雄,成為皇者,這論點尤其適用於商界。正因如此,資訊也不諱言地淪為商業社會中你爭我奪的肥豬肉。網上資訊的重要性及其帶來的商機,導致不少犯罪活動的衍生,例如非法下載、違反私隱權......等罪行。總言之,非法之徒為求達到目的,不惜不擇手段地闖進他人的電腦系統盜取機密。「身份偷竊」(Identity Theft)便是網上常見的罪行。

「身份偷竊」的殺傷力
  身份證明資料遍佈大型商務機構,在沒有電腦輔助的時代,偷竊者可能要花上一整個週末才能盜取僅僅數千份個人資料而已;但估計,今天的黑客能透過互聯網輕而易舉地盜取數以萬計份資料。今年三月美國資訊科技雜誌廣泛報導的TJX公司事件,便反映出「身份偷竊」的殺傷力。事緣美國上市公司TJX被黑客入侵,導致四千五百七十萬張信用卡或扣賬卡的資料失竊。信用卡公司在無計可施之下,即時取消了所有懷疑受影響客戶的信用卡(約四千萬張),並盡快為他們重發新卡,以每張十五元美金成本作計算,公司估計此工程約需花費六億美元(約四十六億港元),就此卡公司正計劃向TJX公司追討。而客戶也會因為個人資料被不法之徒持有,帶來諸多不便,例如在使用其他信用卡時,身份會被懷疑,使他即場感到尷尬。還有保險公司也會被牽連,而要為信用卡盜用的消費作出適當賠償。

  據二零零七年五月十三日英國廣播公司科技版報導:以尼爾.普費斯(Niels Provos)為首的谷歌(Google)研究隊伍,對四百五十萬個網頁進行了抽絲剝繭的深入分析。結果發現其中四十五萬個隱藏含有惡意的程式,另外七十萬個能破壞入侵電腦。換句話說,十個網站便有兩個是危險的,問題確實令人擔心。常見的惡意程式,包括潛伏在伺服器核心的間諜軟件(Spyware)。這類軟件在用戶不在意之情況下盜取電腦內的資料,較嚴重的惡行包括以個人資料為目標的「身份盜竊」。由於現時Web 2.0應用系統大行其道,這情況便更容易發生。Web 2.0特色是以民為本及資源共享。舉例:一個典型的Web2.0網頁是以不同網上服務(Web Services)組成,比如一個網上銀行服務內利用了一個第三者開發的部件(如:貨幣轉換),但這部件可能已植入了間諜程式。再舉例:網誌(Blog)已是網民日常溝通的平台,不少網民也喜歡在自己的網誌中張貼曾到訪過的有趣網址,但這些網址多數未經檢驗,對方隨時在一點進網頁時便「中招」。早在Web 1.0時代,網民已飽受垃圾電郵的困擾,然而只要用戶可以理智地拒絕打開垃圾電郵,問題便可以避免。唯現時網上流氓在Web2.0所採用的「駛過下載」(Drive-by Download)手法十分厲害,把陷阱隱藏在Web2.0網頁內,使人防不勝防。他們經常設計不同極富吸引力的陷阱(如提供免費三級錄像),以請君入甕的手段進行惡意性破壞。

如何避免網上盜竊的發生?
  現今市面上有不少針對網上盜竊的系統,它們的功能大致上可分為兩大類:防禦性及偵察性。前者例子包括:利用不同密碼來支持多階級登入(Multi-level Login),以防止非授權者擅自闖進公司的資訊系統;以數碼加密技術(Encryption)防止黑客閱覽機密資訊等。而後者例子有:以反間諜技術(Anti-spy)偵察已入侵的黑客;利用數據挖掘技術(Data Mining)從客戶使用記錄找出黑客的活動規律及範圍等。任何公司不論大小若有需要儲存機密資訊都應採用以上技術,並須經常作系統更新。但道高一尺,魔高一丈,相比之下,黑客入侵的科技往往都較為先進,它們大多都是直接針對著防禦系統的漏洞而設計。因此,純粹以科技徹底打退黑客、完全杜絕網上盜竊,是不設實際的做法。

  要提高安全度,公司必須加強資訊保安管理(Information Security Management),才能進一步減低網上盜竊的風險。以國際標準為例(如ISO27001),它的設計是建基於「計劃︱執行︱檢查︱行動」(Plan-Do-Check-Act,PDCA)循環。這循環牽涉公司制定資訊保安政策,規定員工遵守,定期檢查政策的成效,並在有需要時調整現有政策。在檢查階段,更有大型公司為求中立,聘請顧問作獨立保安審核(Security Audit)。

  現實中並沒有免費午餐,越是可靠的系統,便會越複雜、越昂貴。因此公司會針對保安審核所建議的調整,先作整體的風險評估(Risk Assessment),才作出是否實現的決定。在風險評估的過程中,公司設法估計若在實現調整建議的情況下可導致的損失。若所估計的損失是可以容忍的話,公司可考慮放棄建議,從以節省實現調整的費用。但歸根究底,問題是在誰來制定風險評估的尺度。自私、懶惰乃人之陋習,所以在在商言商的觀念下,很多商人都會優先考慮公司的經濟利益,而淡化資訊保安管理。若然他們把「身份偷竊」的問題避而不談,罔顧用戶的權利,一旦問題發生便為時已晚。問題發生而導致公司損失,這些自私的商人當然會自食惡果,但無辜的用戶卻要承擔這無罔之災。

結語及建議
  香港網民人數眾多,據Internet World Stats二零零七年三月份的統計為四百八十八萬,滲透率佔人口比例的68.2%,為亞洲之冠。而網民人數的增長率驚人,自二零零零年已增長了113.7%。所以上述的問題與港人息息相關,不宜掉以輕心。以下筆者提出兩個建議:
(一)為減少上述的網上商務罪案,建議政府與業界緊密合作,盡快制定一套本地化的資訊保安管理的尺度及標準,並攜手並肩鼓勵所有牽涉敏感資訊的公司,根據這標準並因應資訊的敏感度,實施適當程度的資訊保安管理。政府更可考慮授與那些參與的公司不同等級的「S嘜」認可證明書,證明它們已達到一定的資訊保安水平。再者,政府可帶頭優先承認「S嘜」公司所提供的服務及產品。而日後當這「S嘜」被廣泛接受後,便能進一步提高國內外用戶對香港電子商務的信心,從而增加香港爭取成為區內電子商務中心的機會。

  (二)「宜未雨而綢繆,無臨渴而挖井」。我們需要盡早了解網上惡行的趨勢,如入侵途徑和手法,以減少對普羅網民的傷害,從而也能促使執法者盡快把不良份子繩之於法。再進一步,所謂預防勝於治療,政府可考慮設立「互聯網社群關注小組」,邀請社會各界人士參與,尤其是福利界、教育界、傳媒界、科技界......等專家,以第一時間監察互聯網的動態,每當發現惡行的硫颸K即時向外公佈,並齊集各專家智慧,集思廣益,擬定對策及編寫用戶指引。
相關文章 / Related Articles

排比學“習”記

錢鋼
2019-03-14

筆跡鑒定:從毛到習

錢鋼
2019-01-09

2017年度智能手機應用程式之使用情況調查

馬偉傑
周展樑,張雅琳
SY MediaLab Big Data 調查組
2017-11-17