難防黑客入侵 公司危機四伏 網絡保安公司可找出弱點測試預防

[2015.03.20] 發表

【明報專訊】去年﹐曾發生多宗高調的網絡攻擊(cyber attack)事件﹐受害者包括有加國政府部門及大公司﹐例如eBay網站?微軟及等Sony等大公司。有網絡保安專家稱﹐1間公司被黑客入侵的機會率達百分之百﹐儘管不是所有侵襲都引致顧客的資料被偷走﹐但商戶應做足防範措施。

現今的黑客活動﹐部分是為偷取金錢及敏感的財政資料﹔一些是來自由國家政府贊助﹐企圖偷取他國的政治秘密﹔也可能只是一些對電腦甚有知識的年青人在玩耍﹐上網攪破壞。

問題是現今的商業趨電腦化﹐令商戶處於極大危機。

密西沙加市的NCI網絡保安公司總裁蒂明斯(Danny Timmins)稱﹐1間公司被黑客入侵的機會率達百分之百﹐包括有各種詐騙?間諜及malware惡意軟件﹐大部分公司應已被入侵過。

根據由IBM公司贊助Ponemon學會作出的1項報告指出﹐在11個國家共350間公司提供的資料顯示﹐於2014年每次電腦失竊資料的平均損失達350萬元﹐即是每份紀錄的損失是145元。該數字較2013年時上升15%。

蒂明斯指出﹐一些公司過往不以為是嚴重問題﹐現在很多公司開始明白到防範的重要性。

「符合規則」(compliance)是網絡保安中增長最快的元素﹐有關資訊科技的保安及違例報告方面的法例不斷改變﹐各公司被逼遵守更嚴厲的規則﹐避免罰款。例如扣帳卡行業屬要「符合規則」的行業﹐因而要對網絡保安方面做很多工作﹐從而達至標準﹐避免罰款。

現時對加國公司並無強制的「公布」(disclosure)法例﹐但總理哈珀曾多次試圖推出有關法例。蒂明斯認為只是遲早的問題。

網絡保安公司會提供「恐嚇危機評估」(Threat Risk Assessments)﹐包括用各種方法對某公司的電腦進行弱點測試﹐跟着提出有關改進保安及標準的建議。

其中1項較普遍的危機測試工具叫「入侵測試」(penetration testing)﹐聘用的保安公司會派員做黑客﹐試圖入侵顧客公司的電腦系統。

保安公司會用多種方法入侵某系統﹐包括用假的phishing攻擊﹐例如聲稱是某銀行發出的電郵﹐企圖偷取收件者的個人資料。又或於顧客公司的停車場留下USB﹐內裏的軟件可偷取用者電腦內的資料。當有公司職員取去並插進其公司電腦後﹐黑客便開始入侵。

蒂明斯稱﹐上述方法的成功率達25至40%﹐也是真黑客使用的方法。

更多要聞一