企業要時刻做好系統保安更新 免讓客戶資料成網絡釣魚材料
本地連鎖沖印店快圖美於去年10月遭勒索軟件攻擊,資料被惡意存取及加密,超過六十萬客戶資料外洩,當中包括姓名、性別、出生日期、電話號碼、電郵地址、聯絡地址及送貨地址。個人資料私隱專員公署近日就事故發表調查報告[1],指快圖美沒有做好個人資料保安措施,違反《私隱條例》,向該機構送達執行通知,指示其糾正和防止違規情況再發生。
調查發現,事故起因是由於快圖美於2018年所購買的防火牆於翌年啟用保密插口層虛擬私有網絡(SSL VPN)後,防火牆的生產商已發現這SSL VPN功能存在保安漏洞及發出警告,呼籲用家即時停用,直至更新作業系統和重設所有帳戶密碼,並且建議啟用多重認證,但當時快圖美並無即時更新系統,最終導致黑客成功利用該漏洞入侵系統,令客戶資料外洩。
今次事故反映要時刻做好系統保安的重要性,當得悉出現潛在威脅後,要馬上作出相應的跟進行動,絕不能掉以輕心,因此系統管理員需留意以下要點來加強系統保安:
- 要保持軟件、作業系統、及防毒軟件更新及定期安裝修補程式,尤其是暴露於互聯網上的系統(例如:防火牆、VPN伺服器等);
- 避免使用生命週期已結束的產品;
- 啟用多重認證保護網路及系統管理員帳戶;
- 可參考HKCERT的《中小企保安事故應變指南》,制定及檢視保安事故應變計劃[2];
- 參考零信任及分隔網路段絡概念[3],以減低攻擊層面及受影響的網路範圍;
- 備份所有重要資料,最少要有一份本地備份及異地備份;
- 加密所有敏感資料。
此外,HKCERT認為由於事故涉及個人資料外洩,有理由相信黑客將會或已經利用這些資料進行網絡釣魚攻擊及詐騙行為,建議公眾應加倍注意可疑電郵和來電,並採取以下保安建議:
- 留意網址的英文串法,小心檢查有沒有錯誤或可疑之處,並且核實網站的真偽;
- 切勿假設使用HTTPS 協定的網站是真實可信的,因釣魚網站亦可使用 HTTPS 協定;
- 切勿隨意打開任何連結或附件,並於提供個人資料前三思;
- 開啟電郵或者即時訊息內的附件或連結前,先確定發送者身份同內容;
- 定期為各帳戶更新登入密碼同啟用多重認證。
此外,大家若對電話號碼、電郵地址、網址和IP地址有懷疑,可以使用「守網者」的免費搜尋器「防騙視伏器」(https://cyberdefender.hk/scameter/)來核對是否詐騙和網絡陷阱。
相關連結:
[1] https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20221114.html
[2] https://www.hkcert.org/tc/security-guideline/incident-response-guideline-for-smes
[3] https://www.hkcert.org/tc/blog/information-security-utopia-starts-with-zero-trust-architecture
分享至