更新「跟唔貼」黑客有機可乘 校管系統防護漏洞

公開存取令風險增加~

設計圖片

現時由中小學使用的網上校管系統，上周有學校系統被惡意攻擊入侵，一度觸發私隱外泄危機。有網絡科技業界稱，雖然系統本身具三層防護、安全系數甚高，但留意到不少學校為了方便老師在家工作，系統網站可輕易在校外公開存取，無需通過VPN連接，而且設置密碼保障方式輕率，無形中增加師生資料曝光危機。教育局未來將推行系統雲端化，有校長期望交由中央統籌後，在系統維護上會更穩定。 

網上校管系統處理及儲存大量學生的個人資料、考核成績等。

由○二年起發展的網上校管系統（WebSAMS）由教育局開發，現時為本港中小學主要採用，除了用作管理師生各項個人資料、處理學校財務狀況等，也是學校與教育局及考評局等互傳信息的電子渠道，重要性不言而喻。

但上周網上流傳一則喇沙小學的學校通告，指其系統受到黑客入侵，資料更被非法下載，涉及多項個人私隱。教育局確認，有八所學校的校管系統被惡意攻擊入侵，更有三所學校資料外泄，其後更發布系統更新及向私隱專員公署通報。相關事件引來學界反響，一時間人心惶惶。

坊間紛紛關注，系統是否存在重大安全漏洞。但一眾負責校園網絡保安的科技業界均表示，純論系統配置而言，WebSAMS的安全系數甚高，相信是個別事件。

環速集團資訊科技總監李曉暉解釋，現時教育局對WebSAMS的運作有指引規定，不僅資料不能與其他校內系統資料共同儲存在同一伺服器中，而且校內系統有「三層防護」，除了有防火牆作首道防綫、限制互聯網連結系統連接埠外，也設有HTTP伺服器及WebSAMS路由器，處理所有系統的網頁訪問，以及控制網絡自由進入系統，「所以跟從指引，應有不錯的防護效果。」

聯綫（香港）營業部經理羅活則推測，今次或是黑客洞悉系統的後門程式漏洞而進行攻擊，她據悉，系統發展十多年來甚少出現類似事故。飛雲系統技術專員何景燾認同，今次情況屬於黑客直接攻擊全港的WebSAMS系統，學校今次是「防不勝防」。

惟業界均強調，防護設置不當，絕對會將系統暴露於危險之中。現時在各大搜尋器中直接搜尋「WebSAMS」，能夠尋得不少學校的系統介面。香港聖公會何明華會督中學校長金偉明指出，學校有相關設定，原意是方便老師在校外工作，例如進行登分、處理成績表等事宜，甚至有少量學校容許家長登入系統，查看學生學業資料。

系統可通過互聯網直接訪問的做法，李曉暉批評此舉大增黑客「白撞密碼」的風險，強調學校若要堵塞保安漏洞，當務之急須要將系統網站改為不公開，或使用俗稱VPN的虛擬私人網絡連接校內網絡，再經其登入WebSAMS。惟何景燾留意到，系統使用多年，當時學界並未普遍使用VPN登入系統，所以相關做法並不普及，間接增加使用風險。

李曉暉續稱，部分學校更換校內防火牆及WebSAMS路由器時，或會出現設置失誤，令所有網絡傳輸均可能通往伺服器。此外，教育局經常推出更新，若有學校更新「跟得唔貼」，也會令黑客有機可乘。羅活也提醒，若老師存取資料的權限設定多於所需，也對保障資料構成一定風險。

事件發生後，據報道不少學界紛紛將系統改為只能在校內存取。除登入設定外，有老師認為，須同時加強保安意識。諸聖中學資訊科技科主任何嘉琪留意到，現時有老師為系統設置過分容易的密碼，甚至將密碼黏在當眼位置。德萃小學及漢師德萃學校總校長朱子穎也笑指，「只要知道老師的基本生日資料，撞多幾次（密碼）都可能會中。」

也有中學在兩年前「Wanna Cry」攻陷學界設備後，便保持將系統上資料定期每周備份，防患未然。廠商會中學校長麥耀光指，現時學校有設置多一套後備伺服器，只在備份時連結系統，其餘時間則將伺服器斷綫，以保障資料完整，「雖然備份耗時，但一旦原系統受損，也只是損失最多一星期的資料。」

金偉明則留意到，受社會局勢影響，有部分學校擔心學校資料會被入侵，故近半年開始將系統改為須經VPN登錄，保障私隱，或陸續放上雲端處理。

教育局在上年推出先導計畫，試驗將現時由學校負責管理維護的伺服器，遷移至雲端平台，並改為中央託管模式。在上一學年有七十所學校參與先導計畫，當局將於今年增加約百五個名額。身兼香港電腦教育學會主席的金偉明表示歡迎，指出以往維護WebSAMS系統主要由學校技術員處理，或不時交由網絡公司處理。隨着學校技術員須處理更多工作，交由中央統籌在系統維護上會更穩定。

現時管理網上校管系統主要由學校的資訊科技技術員擔任，學界歎隨着工作量增大，相關人員難求。

諸聖中學資訊科技主任何嘉琪指，現時每所學校普遍只聘請一名技術員，除了須要定期晚上留校備份網上校管系統資料外，還須兼顧其他學校系統程式的維護工作。他直言，學校要聘請到熟悉學校事務的技術員愈來愈難。

廠商會中學校長麥耀光則指出，相比起私人公司，學校的聘任條件對於技術人員而言欠缺吸引力，「除了薪水有限制範圍外，在學校也缺乏晉升前景。」加上近年隨着各學校大推STEM等課程，技術員變相要「踩過界」、擔任部分教學助理的工作，工作量只會有增無減。所以何嘉琪期望，未來網上校管系統逐漸推行雲端化後，維護系統工作改由中央統籌，有望減輕技術員負擔。

美國、英國、新西蘭和澳洲分別對中國國家支持的惡意網絡活動表達擔憂。

美國司法部和聯邦調查局表示，7名中國公民入侵數百萬美國人的網上帳戶，7人涉及一個持續14年的黑客行動。美國懸賞一千萬美元，以獲取他們的的信息。司法部表示，黑客的目標是美國和外國對中國、企業和政界的批評者。

unsplash圖片

聯邦調查局局長克里斯托弗雷說，中國持續破壞美國的網絡安全，並針對美國公民和美國的創新。

英國政府亦指控中國要對意圖截取數以百萬計英國選民個人資料的網絡攻擊負責，宣布制裁兩名個人及一間公司。

新西蘭安全部門官員則表示，與中國政府有關的黑客在2021年發對針對新西蘭議會的行動。外長彼得斯已指示官員與中國大使通話，闡述新方的立場。

設計圖片

而中國駐英國大使館發言人指出，所謂中國對英國實施網絡攻擊的說法，完全是無中生有及惡意詆毀，中方堅決反對。發言人強調，中方反對將網絡安全問題政治化，反對在無事實依據的情況下抹黑他國。