本文作者為黃永/言論自由行行政總裁
這個10月,香港在成為國際創科中心之路上遭到重大挫折:月中港鐵的訊號系統出事導致4綫癱瘓;接着是上星期國泰航空公布5個多月前確認有約940萬名客戶的資料「被未獲授權的取覽」,人數之多、公布之遲,成為國際新聞;壓軸還有騙徒利用剛推出的「轉數快」服務為假冒的電子錢包增值,再轉走受害人銀行存款,金管局只好暫停直接扣帳授權服務。
以上3件資訊科技系統事故中,以金管局反應最快,本周已開展「確認電子錢包用戶是銀行戶口持有人」的核實程序,服務正逐步恢復運作。其次是港鐵,兩天內有初步觀察結果,卻只知問題,不知答案,並一味把責任推到兩間訊號系統生產商的設定上,而始終未肯承認員工疏忽。當然最差勁的是國泰航空,由確認出事到公布相隔近半年,做法完全妄顧940萬人可能受到的損失以至傷害。
隱瞞近半年 沒清楚交代問題
留意國泰航空所出現的問題,性質明顯又跟另外兩樁事故不同,因此是本文餘下分析的焦點所在——因為金管局和港鐵起碼有向外清楚說明問題和漏洞在哪裏,但國泰卻把問題一直隱瞞起來,例如:
1)許多傳媒以「資料外洩」來形容今次事件,可是當中「外洩」一說,其實國泰方面從來沒有正式證實過,甚至連這個詞語也未有使用過——國泰發出給所有受這次事件影響的人之電子郵件中,唯一肯確定的是「部分個人資料曾被未獲授權的取覽」,但取覽者的身份為何?是否黑客?還是內部未有權限的較低級員工?抑或是外判商?
2)較少人留意的是以上提到的電郵中,有提及國泰「一直緊密分析相關資料,以盡快識別受影響人士及確認資料是否可被重建」:最後一句是甚麼意思?英文版本為:whether the data at issue could be reconstructed,是否代表部分人(或全部人)的相關資料已遭刪除?
3)到底有幾多個牽涉乘客資料的系統出事?據了解,至少登機登記、AsiaMiles(亞洲萬里通)帳戶管理、乘客在旅程上的特別要求(如必須吃素)等資料,既由不同系統管理,也儲存在不相連的資料庫,今次事故究竟是一個、兩個,抑或全部系統受影響?940萬人之數是不是幾個系統加起來的總人數?還是有別的計法?
換言之,國泰的系統到底發生了甚麼事,管理層根本至今還在逃避全面回應,故現時只能用「解困新聞學」的情景推演(scenario planning)分析方法,推論核心問題在哪裏,從而為受影響者盡快找出答案。
沒證實涉黑客 疑為內部缺漏
以常識推斷,國泰今趟事件似乎不涉黑客所為:因為謎一樣的黑客,往往予公眾道高一尺、魔高一丈的觀感,因此防不勝防倒成了企業卸責的最佳藉口,然後借機大力提升保安系統,便可道歉交代。不過,國泰這次卻連「懷疑涉及黑客」也沒有說,反過來看如同間接指出事件應該不太可能是外來入侵,而多數屬內部失誤。
再且,常理也告訴我們,部門或員工出錯而不欲上頭發現,往往是企業內層層瞞上瞞下的主要原因,亦可解釋一件牽涉940萬人的IT事故,為何拖延近半年才公開——要是黑客所為,國泰或已一早宣告天下,以免讓黑客先行對外耀武揚威,到時震撼只會更大,問題也更多。
內部失誤非外洩 可避歐盟重罰?
此外,輿論也關心國泰會遭歐洲監管機構重罰(最高達公司全球收益4%)——不過,歐盟的《通用數據保障條例》在5月25日才生效,而國泰聲稱可疑活動在3月出現,至5月初確認資料在未獲授權下取覽——故此若形容為「內部失誤」而非「外洩」,國泰或可逃避法律責任而免被重罰。
至於有機會出現的內部失誤情況,一般分為以下3大類:
其一,棄置資料的程序出事——情況像清潔人員打開垃圾袋查看,即刪除資料前有人刻意或不小心進入系統取覽;
其二,處理離職員工或外判合約完結後的保安疏忽——最典型情況是員工或外判工在完成任務後,系統仍未更改密碼,讓他們得以繼續在未獲授權下取覽資料(註:國泰去年5月有77位經理級IT部門員工被裁);
其三,內部整理資料庫時發生人為錯誤——當處理不同資料庫的時候出現混亂或行錯指令,導致部分系統不應被影響的資料被更改或刪除。
沒提堵塞漏洞 資料或續外洩
一旦推算出以上各種不同情景,就會發現國泰若然尚未解決其內部問題,目前提供予受影響乘客的「一年免費身份監察服務」作為補救措施,根本並非對症下藥:重點在國泰亦完全沒有於相關電郵提及,公司已成功堵塞了系統所出現的漏洞,而只承諾會不斷提升IT保安水平——也就是說,目前國泰可能仍繼續有資料在未獲授權下取覽!
另一方面,國泰也有必要說明有沒有乘客的資料遭刪除,或用他們的說法:相關資料「是否可被重建」,並預告資料假如不能被重建的話,將會對乘客帶來甚麼影響,並提出具體之對應安排,包括是否有需要乘客及早重新輸入資料,以免影響登機或其他服務。
當然,就個人IT安全管理方面而言,定期更改密碼屬指定動作,多做無妨,也不用等大型事故出現才重新設定。倘若加倍謹慎小心,把所有跟國泰相關的信用卡取消,再報失旅遊證件來申請一本新護照,新號碼自然跟被未獲授權取覽的資料不同了。
唯一真正麻煩的是同時被人閱覽了姓名與香港身份證號碼的人,因為每個人的身份證號碼終身不變,退而求其次是找律師安排改名換姓,始能以策萬全——不過,犯錯的畢竟是國泰,無理由要受害者以逃犯方式處理自己的個人資料罷了。
原文轉載自《香港經濟日報》 2018年10月29日
原圖:港人講地資料圖片