公開存取令風險增加~
現時由中小學使用的網上校管系統,上周有學校系統被惡意攻擊入侵,一度觸發私隱外泄危機。有網絡科技業界稱,雖然系統本身具三層防護、安全系數甚高,但留意到不少學校為了方便老師在家工作,系統網站可輕易在校外公開存取,無需通過VPN連接,而且設置密碼保障方式輕率,無形中增加師生資料曝光危機。教育局未來將推行系統雲端化,有校長期望交由中央統籌後,在系統維護上會更穩定。
由○二年起發展的網上校管系統(WebSAMS)由教育局開發,現時為本港中小學主要採用,除了用作管理師生各項個人資料、處理學校財務狀況等,也是學校與教育局及考評局等互傳信息的電子渠道,重要性不言而喻。
但上周網上流傳一則喇沙小學的學校通告,指其系統受到黑客入侵,資料更被非法下載,涉及多項個人私隱。教育局確認,有八所學校的校管系統被惡意攻擊入侵,更有三所學校資料外泄,其後更發布系統更新及向私隱專員公署通報。相關事件引來學界反響,一時間人心惶惶。
坊間紛紛關注,系統是否存在重大安全漏洞。但一眾負責校園網絡保安的科技業界均表示,純論系統配置而言,WebSAMS的安全系數甚高,相信是個別事件。
環速集團資訊科技總監李曉暉解釋,現時教育局對WebSAMS的運作有指引規定,不僅資料不能與其他校內系統資料共同儲存在同一伺服器中,而且校內系統有「三層防護」,除了有防火牆作首道防綫、限制互聯網連結系統連接埠外,也設有HTTP伺服器及WebSAMS路由器,處理所有系統的網頁訪問,以及控制網絡自由進入系統,「所以跟從指引,應有不錯的防護效果。」
聯綫(香港)營業部經理羅活則推測,今次或是黑客洞悉系統的後門程式漏洞而進行攻擊,她據悉,系統發展十多年來甚少出現類似事故。飛雲系統技術專員何景燾認同,今次情況屬於黑客直接攻擊全港的WebSAMS系統,學校今次是「防不勝防」。
惟業界均強調,防護設置不當,絕對會將系統暴露於危險之中。現時在各大搜尋器中直接搜尋「WebSAMS」,能夠尋得不少學校的系統介面。香港聖公會何明華會督中學校長金偉明指出,學校有相關設定,原意是方便老師在校外工作,例如進行登分、處理成績表等事宜,甚至有少量學校容許家長登入系統,查看學生學業資料。
系統可通過互聯網直接訪問的做法,李曉暉批評此舉大增黑客「白撞密碼」的風險,強調學校若要堵塞保安漏洞,當務之急須要將系統網站改為不公開,或使用俗稱VPN的虛擬私人網絡連接校內網絡,再經其登入WebSAMS。惟何景燾留意到,系統使用多年,當時學界並未普遍使用VPN登入系統,所以相關做法並不普及,間接增加使用風險。
李曉暉續稱,部分學校更換校內防火牆及WebSAMS路由器時,或會出現設置失誤,令所有網絡傳輸均可能通往伺服器。此外,教育局經常推出更新,若有學校更新「跟得唔貼」,也會令黑客有機可乘。羅活也提醒,若老師存取資料的權限設定多於所需,也對保障資料構成一定風險。
事件發生後,據報道不少學界紛紛將系統改為只能在校內存取。除登入設定外,有老師認為,須同時加強保安意識。諸聖中學資訊科技科主任何嘉琪留意到,現時有老師為系統設置過分容易的密碼,甚至將密碼黏在當眼位置。德萃小學及漢師德萃學校總校長朱子穎也笑指,「只要知道老師的基本生日資料,撞多幾次(密碼)都可能會中。」
也有中學在兩年前「Wanna Cry」攻陷學界設備後,便保持將系統上資料定期每周備份,防患未然。廠商會中學校長麥耀光指,現時學校有設置多一套後備伺服器,只在備份時連結系統,其餘時間則將伺服器斷綫,以保障資料完整,「雖然備份耗時,但一旦原系統受損,也只是損失最多一星期的資料。」
金偉明則留意到,受社會局勢影響,有部分學校擔心學校資料會被入侵,故近半年開始將系統改為須經VPN登錄,保障私隱,或陸續放上雲端處理。
教育局在上年推出先導計畫,試驗將現時由學校負責管理維護的伺服器,遷移至雲端平台,並改為中央託管模式。在上一學年有七十所學校參與先導計畫,當局將於今年增加約百五個名額。身兼香港電腦教育學會主席的金偉明表示歡迎,指出以往維護WebSAMS系統主要由學校技術員處理,或不時交由網絡公司處理。隨着學校技術員須處理更多工作,交由中央統籌在系統維護上會更穩定。
現時管理網上校管系統主要由學校的資訊科技技術員擔任,學界歎隨着工作量增大,相關人員難求。
諸聖中學資訊科技主任何嘉琪指,現時每所學校普遍只聘請一名技術員,除了須要定期晚上留校備份網上校管系統資料外,還須兼顧其他學校系統程式的維護工作。他直言,學校要聘請到熟悉學校事務的技術員愈來愈難。
廠商會中學校長麥耀光則指出,相比起私人公司,學校的聘任條件對於技術人員而言欠缺吸引力,「除了薪水有限制範圍外,在學校也缺乏晉升前景。」加上近年隨着各學校大推STEM等課程,技術員變相要「踩過界」、擔任部分教學助理的工作,工作量只會有增無減。所以何嘉琪期望,未來網上校管系統逐漸推行雲端化後,維護系統工作改由中央統籌,有望減輕技術員負擔。