龍七公：屢爆黑客入侵　空談網絡安全-黃傑士 政情觀察員

消費者委員會日前自爆，其電腦系統在上周三遭黑客入侵，聲稱已盜取該會大量內部資料，要求在指定時間內支付50萬至70萬美元「贖金」，否則便會在「暗網」將相關資料公開。消委會隨即向執法部門舉報，召開記者會交代事件始末並致歉，以及發電郵通知可能受影響的機構和人士，但該會至今仍未清楚黑客到底盜取了哪些和多少資料。

消委會機構不算大，年度開支不算多，處理的個人資料也不算海量，資訊保安不夠嚴密也許不足為奇。奇就奇在作為香港資訊科技發展旗艦機構、理應有大量網絡保安專才的數碼港公司，也在上月中遭黑客入侵，盜取了大量機密資料及被勒索巨款。

更離譜的是，入侵事件並非由數碼港或特區政府主動公布，而是被某個國際性的網絡安全平台揭發，指被盜取的資料已被人放在「暗網」公開拍賣，價高者得。數碼港在事隔大半個月後才公開交代事件，令人質疑若非有人踢爆，市民大眾與受影響人士是否就會被一直蒙在鼓裏。

政府資訊科技總監辦公室在該兩宗事故發生後，直認政府電腦系統被黑客攻擊事件時有發生，並以情況普遍來形容。但資科辦聲稱政府系統有多層網絡安全保安技術保護，過往多次企圖入侵都被成功阻截。該辦亦已要求各政府部門嚴格遵守網絡安全指引，包括定期審查、即時通報和接受安全應變訓練。惟有關指引並不完全適用於數碼港、消委會等同樣以公帑營運並管有不少個人資料的半官方機構。

資訊科技界盛傳數碼港與消委會事件只是冰山一角，近年曾有多家公營機構以至大型私人企業的電腦系統，遭黑客入侵盜取資料和勒索巨款。個別機構及企業為免形象和商譽受損，最終決定向黑客低頭，以不同方式支付贖金，以求息事寧人和隱瞞事件，進一步助長有關惡行。類似針對政府部門、公營機構和公共事業的黑客攻擊，在外國亦相當普遍，美國最大成品油管道營運商Colonial Pipeline，據報就曾向黑客支付逾400萬美元贖金，以免公司停運影響當地的能源供應。涉及私營機構的黑客勒索及付鈔求和個案更是不計其數，且絕大部分都不為外人所知。

內地早於2016年通過《中華人民共和國網絡安全法》，全方位打擊包括黑客入侵等網絡安全罪行。澳門特區亦已於2019年落實《網絡安全法》，設立網絡安全事故預警及應急中心。美國、英國、新加坡等地網絡安全相關立法更各有好幾套，並會不斷因應新科技和新情況而更新加辣。

香港的網絡安全問題多年來都無法可依，向國際黑客中門大開。直至中央針對黑暴風波訂立《港區國安法》後，特區官員才忽然醒起要立法保障網絡安全，但空談了3年仍未見實質行動與成果。政府有必要加快及加強相關立法，包括將刻意隱瞞黑客入侵及支付贖金行為，也當作協助犯罪處理。