孖士打|交贖金難保證黑客刪資料 企業數據外洩 遭勒索應尋法律意見
原文刊於信報財經新聞「CEO AI⎹ EJ Tech——高管對談」
不久前有黑客入侵國際網上教育平台,更於竊取用戶資料之後勒索贖金,本港部分院校亦受影響。事件反映勒索軟件已從網絡安全技術問題,演變為各類組織的全面危機。孖士打律師行(JSM)爭議解決業務管理合夥人林道儒接受本報專訪,探討企業應如何應對勒索軟件危機。林道儒直言,就算黑客聲稱會刪除所得資料,都只能假設他們會踐諾,交贖金從來沒有任何保證。
洩漏活動劇增59% 亞太區重災
林道儒現時領導孖士打的網絡安全與資料私隱團隊,協助客戶控制網安全事故,以及處理相關法律、聲譽、監管問題。他指出,勒索集團主要在暗網公布洩漏資料,又引述網安公司S-RM報告稱,過去一年這類洩漏活動劇增59%,尤以亞太地區的攻擊增幅最大。
不過,亞洲企業之間的網絡成熟度差異甚巨。根據林道儒的觀察,有一些機構的網絡韌性、備份機制相對強健,但亦有不少組織的管理層,甚至未能掌握自身系統弱點。他又強調,「僅一份事前計劃都不足夠……因為它會影響整個企業核心運作,全部持份者都需合作應對。」
外界常以為勒索事件是隨機發生,但林道儒指出,現時攻擊者生態已經高度專業化,他們選擇目標往往考慮多項因素。除了是否存在可利用漏洞外,還會判斷對方有否支付能力,以及攻擊能否施予足夠的付款壓力等。業內產業鏈亦分工明確,例如有人專門充當「鎖匠」騙取權限,有人則去研究目標價值。
藉AI助力 快速找苦主漏洞
AI普及亦改變了勒索攻擊的速度和規模。最令林道儒印象深刻的,是近年團隊與勒索者溝通談判時,對方使用英文能力明顯提升;他認為是ChatGPT或其他AI工具改善其溝通方式。另外,由於AI也能用於發現攻擊漏洞,林道儒直言:「我們現正處於『超高網絡風險』的邊緣」。
若企業真的不幸遭勒索,首先面對的問題無疑是應否交贖金。林道儒稱,這是現實「最後手段」(Last Resort),香港法律雖無明文禁止,但政府與法律界普遍不鼓勵,況且亦難以完全排除洗錢、二級制裁等延伸風險,故他強調,「任何受害機構面對這種處境,都應先諮詢法律顧問。」
更加重要的是,付款其實不能保證問題得到解決。林道儒說:「你始終是在和罪犯們打交道,就算他們聲稱已經刪除所得資料……你都只能假設他們真會履行交易承諾,從來沒有任何保證。」
形容企業遇網攻風險比火災高
談到如何減低風險,林道儒提到可考慮購買網安保險,並且做好安全技術措施,包括端點偵測回應(EDR)、擴展檢測響應(XDR)、多重要素驗證(MFA)與電郵過濾等,「但說到底,人為因素才是重點……你可以買到最好的門鎖,但如果你的人把窗打開,入侵風險仍然存在。」
最後,林道儒說:「網絡安全事故的風險評級高於火災,企業不能再忽視此問題。」呼籲管理層須改變思維模式,建立「主動韌性」(Active Resilience),持續在組織成員間推廣安全意識,定期演練檢查、反覆更新修補,才能有效應對營運危機。
採訪、撰文:郭文德
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
