其實,商業機構出來把這些問題提出,讓公共更加關注,引發多些社會討論,必屬好事。當然,網絡保安出事後大家都會批評和擔憂,但平時大多數人卻不會為此多做甚麼。
網絡保安面對的技術挑戰日新月異,但技術層面問題都有解決方法。不過非技術問題,包括用戶和政策制訂者的態度和處理方法,比技術面對的挑戰更難處理,為害也更深。
很多香港人都想知道,香港的網絡保安問題是否比其他國家、地區差或嚴重,但對這類問題的答案,通常都只能說是「比上不足,比下有餘」。筆者就在這裏提出三個深層次矛盾。
政府防禦黑客被動
網絡基建好,速度快的地區,都會成為黑客針對的活動溫床;香港用戶 24小時高速接上互聯網,如果黑客控制了這些電腦變成「喪屍」,再用作攻擊其他對象時就最方便和最高效率了。所以,香港既有這麼好的電訊設施和普及的服務,自己重視保安就責無旁貸,否則便有點「害了別人」。
第二個矛盾,港交所被黑客攻擊事件,但問題不在於沒有技術知識處理,反而是在整體應變管理出現較大問題;大機構如港交所其實早有準備,他們固然樹大招風,但更大的問題其實出現在數以萬計的中小企身上,因為他們不少近乎不設防,除了被入侵成了「喪屍電腦」,或者網站被加入了惡意軟件內碼,也不知道。
第三個矛盾,就是既然如此,政府在政策上做了甚麼?出了問題時官員都表示極度關注,但政府有沒有研究其他與香港情況相似的國家,如韓國對企業必須採取足夠網絡安全措施的法定要求?在防禦方面,我們也顯得被動,防禦只在「大事件」時做到足,平時隨便算了,但黑客是攻其不備;就是在常設香港電腦保安事故協調中心的資源上,多年來不足,也是反映當局「無事夏迎春」心態。
2011年9月3日 刋載於《蘋果日報》