民間一些大公司、私營機構面對類似黑客攻擊,也是防不勝防。
現在香港金融市場最大的系統性風險,並不是怕大戶沽空造成市場動盪。時代轉變,當年血戰索羅斯的相似事件,恐怕不會再出現。
美股外幣即時報價 多國新聞任睇
現在最大的金融風險,是信息安全風險。
JPEX醜聞,蓋過了很多新聞。當中包括
政府友好機構數碼港接二連三被黑客攻擊的風波。雖然 JPEX 新聞夠 juicy,但論影響深遠程度,後者絕對更大。
被黑客勒索這類信息安全事件,處理方法可以有兩種,表子和𥚃子。表面上、政府當然要表示不會妥協,不會交贖金,如果對外公開妥協,便衍生破窗效應,等於「邀請」全世界黑客組織前來攻擊香港網絡。
口裡說一套,做是另一套。
其實,民間一些大公司、私營機構面對類似黑客攻擊,也是防不勝防。
表面上,它們亦同樣公開表示不會交贖金。可是內裡,它們私下會跟黑客交涉,討論條件,當然包括交贖金。
信息安全風險要留神
私營機構、大公司們同時亦會將網絡攻擊者包裝成「白帽黑客」(White Hat),意思是讓他們變成自己公司聘請的「友好」。這些友好技術團隊,為公司發現到了一些電腦技術上的漏洞,從而幫助公司系統「升級」。公司給予這些黑客的金錢當然也是不是叫作「贖金」,而是「顧問費用」。
這類操作,在加密貨幣世界很常見,因為很多新生項目通常都會有漏洞,需要一些人去進行試錯,從而得出漏洞回報。項目管理人給予發現漏洞的人的酬金,自然不是所謂的「贖金」了,是包裝得很好的「顧問費」。
可是,今次數碼港和政府處理黑客勒索的最大問題是,將表面上的說法和內裡解決方法混為一談——公開表示自己「不會交贖金」,背後原來還真的不交贖金!
結果便出現災難級結果:超過400GB個人數據被放上暗網,任人閱覽。
即是說,全球所有人,包括各國政府,都可以看到這些香港市民及高等級科技團隊的私人資料。
這類私密資料,更可能與國家安全息息相關!
香港有間上市公司叫作中國高精密(591),這間公司曾因為出不了財務報表而長期停牌,但因為它們從事與國家安全相關業務,所以以此理由成功申請過短暫復牌。在國安法制度完善後,證監會最後更批准這間公司完全復牌。
香港在地有不少與國家安全產業有密切關係的公司團隊,而我們實在不能排除數碼港內是否會有一些與國家安全產業息息相關的科技項目或團隊在內運作。你也不能夠排除,數碼港當中的持份者,有接觸表面的情報工作部份。但現在,都被公開了。
流出的400GB個人信息當中,又究竟有沒有牽涉敏感國安資料呢?這些問題漏洞,至今數碼港或政府方面,都未有一套令人信服的官方說法。
一旦外國政府通過這批400GB個人信息而獲得一些國安相關資訊,引伸而來的國際間軒然大波,不堪設想。
未來香港金融安全的最大風險,就是這類信息安全風險。
經此一役,希望相關部門管理層好好學懂如何分別在檯面及檯底與國際黑客打交道。
如果管理層們還抱著「黑客攻擊是不可抗逆因素」這類守舊思維,我想他們應該思考一下自己是否還能勝任這個崗位。
渾水
本欄逢周日刊出
渾水專欄 - 渾水 舊文
本文作轉載及備份之用 來源 source: http://hk.finance.yahoo.com
