於今年年初,瓜瓜的公司電腦遭黑客入侵,不單所有檔案被上鎖,黑客還要求贖金解鎖。自問電腦保安做到足,也從不打開可疑電郵,到現在還未清楚黑客的入侵途徑,最大可能是遠端桌面程式被駭。不過,好在電腦定期做了檔案備份,因此影響不大,可謂萬幸。
科技罪案無日無之,實在防不勝防,最近數碼港資料外洩就是一例。根據報道,被盜的資料有400GB之多,當中包括員工身份證、銀行、薪金以及履歷等資料。黑客還向數碼港勒索30萬美元,並以公開被盜資料作威脅。
要數本港歷來的大型資料外洩事件,就必定想到國泰航空(293)。於2018年中,940萬名乘客的個人資料被盜,影響之廣實在少見。令人失望的是,當年國泰以「避免引起公眾恐慌」為由,延遲差不多半年才對外公布事件。無獨有偶,這次數碼港也以類似的理由,說要避免引起不必要的疑慮,解釋為何事故在8月中發生,但在9月6日才對外公布。
有趣的是,第一次公布消息時,整份新聞稿連一句道歉也欠奉。到了9月12日公布事故進展時,在新聞稿結尾才輕飄飄一句「深表遺憾」。其實香港早已有《道歉條例》,指明作出道歉不等於承認過失或法律責任,數碼港怕甚麼?好了,等到9月14日數碼港管理層召開特別會議後,其董事局主席才代表數碼港向受影響人士致歉。這個遲來的道歉,究竟誠意有多大,對公眾形象有幾大傷害,留待讀者自行判斷。
另一問題,究竟數碼港應否支付贖金,以避免被盜資料遭公開呢?個人是反對的。就像瓜瓜今年的遭遇,當時完全沒有考慮支付贖金,連那個寫有勒索訊息的文檔也沒有打開。一來擔心為電腦再帶來傷害,二來付了贖金,黑客未必信守承諾為檔案解鎖。以為這是人所共識,豈料在社交平台收集了些意見,竟然不止一位朋友認為黑客會「講道義」,支付贖金後不單會解鎖,而且以後不會再駭進同一個戶口,就當為自己的資訊漏洞買個教訓云云。
對這種美化黑客的言論,恕瓜瓜不敢苟同(純粹對事不對人,希望留言的那幾位讀者不要介意)。首先,如果黑客講道義,就不會勒索受害者。相信一個加害於你的人,不是患了斯德哥爾摩症候群,就是太天真了吧?
第二,沒有錯,電腦資料外洩往往是保安措施不善讓黑客有機可乘,受害人也要負上責任。可是,這並非黑客去偷去搶的理由。「路上執到寶,問天問地攞唔到」就是做人的應有態度?為甚麼不是路不拾遺?試想想,你給人搶了銀包,就算因你顯富而「抵死」,也不能抹掉小偷的罪責。第三,先不說現今世界黑客何其多,不會因你被人駭一次,另一名黑客就不會駭你。就算是同一名黑客,不駭兩次只是出於計算而非道義,因為再駭就不會有人願意支付贖金。
純粹個人意見,數碼港拒付贖金是對的,因為付款等於鼓勵黑客繼續尋找下一個受害目標。況且,付了款不能保證資料不會外洩,畢竟那些人是賊,信他們只是與虎謀皮。
事故延遲公布已令受影響人士擔心不已,遲來的道歉相信也令他們不快,希望數碼港及早做好善後工作,盡快找出和主動通知受影響人士並提供最大協助,不要再令公眾失望才好。