关闭

展开

职位空缺

招标资料

联络我们

慎防供应链攻击 保障网站安全

上期本栏为网上服务用户介绍了一系列提升资讯保安的建议。

其实除了用户要培养良好的上网习惯外,服务供应商对网站保安也责无旁贷,必须做好保安把关工作,否则用户资料亦有可能外洩,令机构声誉受损,更可能要面对用户索偿,甚至本地及海外监管机构的调查和惩处。

例如,最近有本地的旅游体验网上平台发现,用户的部分资料(包括个人及信用卡资料)可能在未经授权的情况下被读取,资料有机会外洩,估计8%用户受影响。事件的起因,与第三方网站分析供应商所提供的Java程式码内藏恶意成份有关。

事件正是近年开始肆虐的「供应链攻击」,主要是透过攻击第三方服务供应商来入侵最终目标。这类攻击有很多成功例子,归根究底,是因为机构太信任服务供应商,把工作外判后,便理所当然地将资讯保安责任也交託予供应商,缺乏适当的监管。

机构应制定对第三方服务供应商的管理政策,在条款上订明服务供应商的资讯保安责任,并定时进行检查及稽核。此外,机构亦可聘请资讯保安顾问定期进行入侵测试,确保网站安全,保障客户资料。

个人用户方面,利用信用卡进行网上交易时,必须注意安全,只使用可信任的电脑及网络。另外,对于经常用作网购的信用卡,用户可以设定最低的交易限额,避免蒙受庞大损失。