關閉

展開

職位空缺

招標資料

聯絡我們

慎防供應鏈攻擊 保障網站安全

上期本欄為網上服務用戶介紹了一系列提升資訊保安的建議。

其實除了用戶要培養良好的上網習慣外,服務供應商對網站保安也責無旁貸,必須做好保安把關工作,否則用戶資料亦有可能外洩,令機構聲譽受損,更可能要面對用戶索償,甚至本地及海外監管機構的調查和懲處。

例如,最近有本地的旅遊體驗網上平台發現,用戶的部分資料(包括個人及信用卡資料)可能在未經授權的情況下被讀取,資料有機會外洩,估計8%用戶受影響。事件的起因,與第三方網站分析供應商所提供的Java程式碼內藏惡意成份有關。

事件正是近年開始肆虐的「供應鏈攻擊」,主要是透過攻擊第三方服務供應商來入侵最終目標。這類攻擊有很多成功例子,歸根究底,是因為機構太信任服務供應商,把工作外判後,便理所當然地將資訊保安責任也交託予供應商,缺乏適當的監管。

機構應制定對第三方服務供應商的管理政策,在條款上訂明服務供應商的資訊保安責任,並定時進行檢查及稽核。此外,機構亦可聘請資訊保安顧問定期進行入侵測試,確保網站安全,保障客戶資料。

個人用戶方面,利用信用卡進行網上交易時,必須注意安全,只使用可信任的電腦及網絡。另外,對於經常用作網購的信用卡,用戶可以設定最低的交易限額,避免蒙受龐大損失。