176 5 促資訊保安 記得 2013 年聖誕零售旺季期間,美國零售業巨頭 Target 的「銷售時點情報系統」 (Point of Sale, POS)遭黑客攻擊,數以億計用戶的銀行卡資訊被盜走,包括 卡號、 用戶姓名、通信地址、電話號碼、電子郵件等資訊,造成美國歷史上最嚴重的資訊洩露 事故之一,三分之一的美國人受到波及。及後根據調查,Target 網絡系統之所以受到 攻陷,關鍵是黑客首先攻入了 Target 一家外判供應商的網絡,再以此為切入點,侵入 Target 公司的網絡系統,而這家外判服務供應商遭到黑客成功攻擊,原因是該家外判供 應商內一名員工中了「釣魚」病毒。值得一提的是,Target 的電腦保安系統曾向員工提 出警示,但因為有員工輕心,缺乏自己也應有的保安責任意識,以致輕易地讓黑客入侵 並為所欲為,鑄成了無法挽救的大錯。由此可見,用戶或企業內員工的網絡保安責任意 識,在整個保安過程和結果中都十分重要,絶不能掉以輕心。 擺脫「雙重道德風險」陷阱 總體來說,在網絡保安上,除了需要留意「第三方」風險外,用戶在保安工作上的配 合和支持,不可缺漏。很顯然,用戶需要認識自身在網絡保安上的角色和責任。若然 對於「釣魚」電郵和訊息的警惕性不足、隨意把自己的電腦密碼寫在紙張上,或用簡 單的生日日期數字作為密碼、把網絡保安的責任完全交給企業,沒有做好自身的保安 投入或付出,往往為黑客打開入侵攻擊的缺口。事實上,大部分的網絡攻擊事故,缺 口都多在用戶方身上。如個別用戶的電腦受到病毒感染後,變成黑客長驅直入企業系 統之門。
RkJQdWJsaXNoZXIy NDk5Njg=