173 5 促資訊保安 [本文摘要]:殭屍網絡攻擊、惡意軟件及釣魚網站向個人或企業作侵害或敲 詐,日益猖獗。隨着網絡和物聯網應用日漸普及,於此日趨複雜和瞬息萬變的 環境下,確保網絡安全不能靠單一持份方獨力成就。 當市場參與者之間存在信息不對稱的情況,會出現所謂的「道德風險」。譬如 駕駛者購買了保險,由於車輛損失由保險公司承擔,因而在駕駛時,便可能減 少對路面交通安全的注意程度,甚至不管路面行車的風險,使保險公司要面對 攀升的道德風險。 用戶認為做好防範網絡攻擊的措施和裝置,是企業的責任,與己無關;企業則 覺得網絡保安用戶一方也有責,從而雙方都減少了對保安的警惕和付出,這種 網絡保安上的「雙重道德風險」,給網絡攻擊者侵入提供了黃金機會。作者提 出以合同形式,來釐訂保安工作的責任分布。在網絡保安的責任和後果上,用 戶都應該分擔其合理投入或責任的歸屬部分,此舉對強化保安的效果料可起積 極作用。 生產力促進局屬下的「香港電腦保安事故協調中心」透露,該中心過去一年共處理了 10,081 宗網絡保安事故,較上年增逾 50%,增幅相當凌厲。作案人透過殭屍網絡攻擊、 惡意軟件及釣魚網站向受害者—包括企業或個人進行侵害 或敲詐。據該中心解釋,保 安事故去年之所以遽增,原因之一,是黑客幫助其 他缺乏相關技術的犯罪分子提供一站 式攻擊服務,降低了犯罪門檻,令殭屍網 絡攻擊案件數量大增,可見網絡保安風險在當 下以至可見未來都會有增無減, 需要及早有效處理。 無可否認,在今日社會,無論個人或企業幾乎每一刻都離不開網絡,而企業或 個人在網 絡上往往都連接了或多或少的智能設備,從打印機到 Wi‐Fi 路由器 等。如果缺乏安全保 障措拖,則物聯網中每一個部件,都可能成為犯罪份子作 案的切入點。據全球網路安 全巨頭 BeyondTrust 公司的評估,物聯網設備在 2019 年將成為惡意軟件攻擊的主要目 標。事實上,物聯網如今無處不在。置身 各處的隱形感應器和芯片無時無刻都在相互通 信,傳輸和修改數據,因此,在如此複雜和瞬息萬變的環境下,怎樣確保網絡安全,這 顯然不是單一方能夠隻手包辦完成。 網絡保安「雙重道德風險」陷阱
RkJQdWJsaXNoZXIy NDk5Njg=