社论
马来西亚发生了当地历来最大规模的数据泄露事件,有4600多万个手机用户的个人资料外泄。马来西亚人口3200万,这可说是波及所有手机用户。尽管数据泄露所涉及的人数可能不比近来传出的一些同类事件,但波及全国手机用户这一规模可说全球罕见。由于泄露的资料包括手机用户的住址、身份证号码、SIM卡资料等,马国几乎全民的网络安全如今都处于“非常脆弱”的状态。
近来,国际上揭露的数据泄露事件可谓一波比一波严重。雅虎去年9月首次披露,在2014年遭黑客盗窃至少5亿用户的个人资料,包括姓名、电邮地址、电话号码、出生日期和密码;12月又说有超过10亿用户的信息外泄。今年10月初,已收购雅虎的美国电信公司威瑞森公布,雅虎所有30亿用户的资料都外泄了。美国消费者信用评估机构Equifax今年5月至7月遭黑客入侵,有超过1亿4000万美国人的个人资料外泄。就连国家金融体系也难以对抗黑客入侵与盗窃数据的行为。去年,孟加拉央行被盗8100万美元,俄罗斯央行被盗3100万美元。无线网络加密机制的安全漏洞最近公开,多年来是否泄露数据、泄露多少,问题的严重性难以评断。信息安全威胁可谓到了触目惊心的地步。
本地也曾发生零星个人资料泄露事件,例如2014年多个政府网站遭入侵,千余名用户的身份证号码和电子政府密码可能外泄。卡拉OK连锁店KBox曾泄露超过31万名会员的个人资料。
尽管不曾发生大规模数据外泄事件,我国在这方面仍面对一定风险。普华永道会计师事务所今年5月的一项全球信息安全状况调查显示,我国企业在网络安全方面的准备比其他国家来得低。拥有完整网络安全系统的马来西亚公司高达74%,日本公司有72%。相较之下,拥有完整网安系统的本地公司只有61%。拥有完整网络安全系统的马来西亚公司比率比我们高,尚且发生4600多万手机用户a资料外泄事件,我国公司所面对的风险可想而知。
公共部门也面对风险。我国总审计署今年7月发布的审计总长报告,点名多个公共部门对资讯科技系统的监管有明显疏漏。例如国家公园局有104个离职员工的账户,在员工离职长达10年之后,账户使用权限都没有注销;公积金局则有六个临时员工在离职后,其账户仍被人使用,而公积金局无法证实使用者的身份。政府高度重视网络威胁,制定《网络安全法》,成立网络安全局,防御网络袭击,但黑客入侵盗取数据往往发生在有疏失的细枝末节处,漏洞一旦被黑客发现,就可能成为数据外泄的决堤口。
个人资料泄露是安全问题,也是信心和成本问题。国际上一再发生个人信息泄露事件,国人也会受波及,因为网络世界是跨国界的。民众和投资者对网络安全失去信心,就会对使用和投资移动支付、无现金交易、电子商务、电子政府等却步。上述普华永道会计师事务所调查的另一结果显示,将近六成的受访国人将机密资料外泄视为网络袭击的最严重后果,只有39%受访者认为,他们所属公司拥有能够对付网袭的完整信息科技安全策略。
在推动无现金交易、电子商务、智慧国愿景等计划时,严密保护个人资料是关键之一。然而,面对全球黑客威胁,这是道高一尺,魔高一丈的攻防战。在大数据时代,每一个人不随便公开个人资料,是数据保护的第一道防线;掌握数据的公司和政府机构也须做好第二道防线的工作。政府须立法和加强执法,规定公司和机构应有的防范责任和确保它们会负责任的执行,才能提高社会大众和投资者的信心。黑客入侵是跨国界威胁,国际组织和各国政府也须联手做更多努力。
赞
