網絡安全 科企有責(張克環教授、劉永昌教授)
本文作者張克環教授、劉永昌教授來自香港中文大學工程學院信息工程學系,為《信報》撰寫專欄「科網人語」,原文按此
香港是現代化及高科技城市, 但公眾對網絡安全意識甚低,大部分僅局限於定期更換密碼的層面。然而,日常網絡活動中潛伏着很多不為人知的風險。以容許用戶以同一組賬號及密碼使用不同平台的單點登錄(SSO)服務為例,由於使用程序快捷方便,部分主流身份提供商(IdPs)包括Facebook、Google、騰訊和新浪,以及第三方應用程式開發者均廣泛使用,大部分用者對服務可能埋藏着的保安漏洞卻渾然不知。
很多人以為只要在知名平台下載應用程式,就毋須擔心安全問題。但在2015至2016年間,每日平均有約1500個新的應用程式,分別在蘋果及Google應用程式商店上架,而在眾多程式中,總會有些帶有病毒或惡意軟件,皆因商店往往視提供大量合時和流行的應用程式為首要目標,而忽略為「商品」作仔細的網絡安全檢查。
基於資源有限,科網企業會在保障網絡安全、用戶私隱與其他目標之間作取捨。他們往往捨難取易,例如忽略產品安全檢查,節省開發新功能以及降低成本。第三方開發者也有類似商業考慮,因要確保其開發的應用程式安全,便無可避免會增加成本,最終阻礙供應。因此,用戶的安全保障往往被犧牲。實際上,絕大部分開發者都未必有豐富資源處理安全問題,不少編寫Apps的程式員並非IT人,缺乏與電腦科學相關的技術背景。即使是具有相關背景,他們也未必接受過電腦及通訊保安專門培訓,可能沒有意識或沒有足夠能力處理產品中的安全漏洞。
第三方檢查知易行難
如果科網企業與開發人員都不能保證產品安全, 那麼讓獨立第三方檢查是否解決方法?說來容易,但知易行難。網絡安全檢查向來是科技業界的重大挑戰。具體來說,多廣泛的檢查才算足夠?即使能夠把檢測標準公開仍不無隱憂,因為這樣無異於公開邀請黑客設法破解。中大工程學院現正設計一套工具,幫助Android應用程式的開發者及用戶評估及解決使用共享存儲服務時遇到的訊息洩露風險。為提高專才對網絡安全的相關知識和技術,學院幾年前已開始在本科加入有關網絡安全的課程。
儘管困難重重,網絡安全仍可改進。消費者應避免光顧非官方的應用程式商店。同時,對大型平台的保安亦切勿掉以輕心。如果大眾安全意識轉化成一種消費者壓力,科網企業不得不對自己商店內的應用程式作更有力的審核,最終迫使蘋果、Google這些科網巨頭負起企業社會責任,保障用戶的隱私和安全。
當用戶愈來愈了解網絡安全的重要性,企業長遠將可把安全性作為其產品或服務賣點。若香港政府有意把金融科技(FinTech)發展為香港的一大產業,便必定要在網絡安全方面投放更多資源。
更多「科網人語」文章:
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。