學生機密或敏感資料有機會外泄!
網絡存取資料方便快捷,但若網站沒做好加密,會帶來安全隱患。資訊科技教育領袖協會早前進行全港學校網站安全普查,檢視全港逾千所中、小學的學校網站,發現約九成學校網站和內聯網未採用加密技術保護數據傳輸,學校資訊容易在傳輸過程中被黑客截取,令學生機密或敏感資料有機會外泄。有專家指,家校通訊平台的應用十分普遍,建議學校應盡快處理。
協會委託資訊科技服務營運商,於四月初以電腦系統掃描方式,檢查本港一千零四十六所中、小學,包括官立、資助、直資、私立及國際學校,所管理的網站使用「超文本傳輸安全協議」(https)的情況。結果發現僅一成四網站有安全憑證,而當中有九百零八所使用內聯網的學校,亦僅得百分之八有安裝,反映不論學校網站還是內聯網,均有九成學校未有進行加密保護。值得關注的是,國際學校網站有採用https加密的比率,是本地學校的三倍。
協會又向負責資訊科技教育的中小學教師或技術員發出問卷,獲一百八十六人回覆。其中五成七受訪者認為,學校網站採用https是重要或很重要,但問到所屬學校會否在一年內處理有關技術憑證的認證,卻只有約一成人表示會。協會主席黃健威表示,受訪者指學校最主要面對技術、價錢及沒有時間研究等三大困難。
黃健威稱,以往學校習慣在網頁上載新生「人名紙」顯示分班情況,但近年已較少見,學校網站已絕少載有學生敏感資料,「但學校內聯網卻儲存了學生通訊資料、電子成績表等,方便教師隨時存取。」他指,尤其現時本港逾百所小學都有採用家校通訊平台,方便家長收取通告、子女測考成績,當中或顯示學生身分證號碼、成績等資料,若被黑客截取,恐防造成個人私隱外泄。
負責調查的環速集團資訊科技總監李曉暉補充稱,部分網站甚至有電子付款功能,若登入系統未加密,帳號和密碼有機會被黑客截取,招致金錢損失。他解釋,用戶存取網站資料就如寄信往來,https就是為「信件」加密,令「信件」即使落入假郵差手上、寄送到假地址,不法之徒也不能獲悉真正內容。他建議網站同時採用「域名系統安全擴展」(DNSSEC),確保用戶不會誤入釣魚虛假網站,並指加設安全憑證及https及採用DNSSEC,費用並不高昂,由百多元至幾千港元不等,建議學校盡快研究為網站設立https加密。