九成中小學網站、內聯網未加密 易遭黑客入侵增資料外洩風險

撰文:陳宇軒
出版:更新:

全球正受到網絡黑客攻擊的威脅,過往亦曾有學校的網絡保安漏洞而遭受損失。有資訊科技團體關注問題,委託公司調查過千間中、小學的網絡保安保障程度。結果發現,平均約90%受訪學校的網站和內聯網均未經加密,學校資訊因網頁伺服器未進行加密及有效認證,在傳輸過程中易被黑客篡改,造成保安漏洞,增加資料外洩風險。
團體其後再向學校發問卷,竟發現仍只有10.2%學校會在半年內計劃改善,超過60%學校回應「不知道」和「不會」,主要因手續繁複,以及價錢和時間問題。

資訊科技教育領袖協會今年4月委託環速集團執行「 全港學校網站安全普查」,結果發現平均約90%受訪學校的網站和內聯網均未經加密。(陳宇軒攝)

資訊科技教育領袖協會今年4月委託環速集團執行「 全港學校網站安全普查」,檢視全港1046中、小學,以及國際學校的網站使用https傳輸資料情況,結果發現,只有143間學校的網站和73間學校內聯網網站有安裝憑證,以https作數據傳輸加密,分別只佔13.7%和8%。

資訊科技教育領袖協會黃健威分析指,一旦學校未有https的身份認證,黑客容易偽裝成該學校的釣魚網站,欺騙教師或家長在釣魚網站登入,騙取其登入帳號和密碼,黑客便可順利利用「真實」身份作後續詐騙,如發通告要求家長繳交相關款項等。科技公司環速集團資訊科技總監李曉暉補充,部分學校開始在內聯網使用電子支付系統,一旦家長的資料外洩,涉及的損失或更大。

學校怕麻煩、資訊保安意識亦不足

然而,這些潛在的保安漏洞似未對各學校造成警惕。協會在調查後再向學校發出問卷調查,關注改善措施,在收回的186份問卷中,過半學校持份者認為https的保安傳輸和身分認證重要,惟只有10.2%學校回應指會在半年內設立有關保安安排,超過60%回應「不知道」和「不會」。

黃健威表示,學校多稱因手續繁複問題,如須要來回用電郵向相關組織核實學校真實身分,需要校長簽署多份文件才辦妥,令兼顧資訊科技的教職員難以分身處理,加上價錢問題因素,令改善措施無從落實。調查更發現,有17.7%學校回應指「沒有需要」,黃健威補充指,有學校對資訊保安意識不足,認為收集的資料不值錢,惟家長和學生的個人資料,如聯絡方法、成績、甚至身分證號碼均無必要曝露於危險中,學校應正視。

建議學校盡快為網站內聯網系統加密

李曉暉表示,一般申請https和相關保安認證,費用由免費到2000元不等,最高級的認證服務亦只需時約兩星期左右。香港互聯網註冊管理有限公司資訊科技總監李頌康建議,學校應盡快為網站內聯網系統加密,取得相關https安全憑證,學校亦應定期為網站作安全健康檢查,如定期檢查憑證安裝是否正確,以及定期掃描偵測惡意軟件,同時亦可採用DNSSEC技術,即確保用戶可被引領到真實網站,免受網絡攻擊威脅。