有報導指有中學因為僅由單一人員掌握系統密碼,導致校方錯過足球比賽的報名日子,從而被拒參賽,事件引起廣泛關注。本文暫且不論事件的後續發展,而是集中討論機構在機密資訊監管制度上的問題。
關鍵系統的密碼集中於一人之手,實質上是將整個機構的營運風險置於單一故障點(Single Point of Failure)。一旦該人員因為遺失密碼、離職或其他不可預見的因素無法提供必要資訊,整個系統便可能陷入癱瘓。這種做法極其危險,反映機構的資訊安全管理意識嚴重不足。教育機構作為知識傳播與人才培養的重鎮,本應在資訊安全方面樹立典範,可惜這次事件卻正正成了反面教材。
值得深思的是,除了大型機構,香港普遍對資訊科技的認知和管理都有明顯不足。中小型企業和組織投入到資訊安全的資源有限,遑論培養具備先進技術的專業人才。資訊科技在現代社會的關鍵作用往往遭忽視,機構普遍認為系統能夠運行便可,會選擇性地對安全問題置若罔聞。這些短視的觀念使機構容易成為網絡攻擊的目標,陷入資料洩露、業務中斷等危機。
香港作為國際金融和商業中心,資訊科技應該是核心競爭力之一。然而,許多機構缺乏維護資訊安全的完善策略,不單沒有定期進行風險評估,甚至對於基本的密碼管理也過於粗疏。這樣不僅影響機構自身的營運效率,也可能對整個社會的安全穩定構成威脅。全球數位化競爭激烈,落後的資訊科技管理可能使香港處於下風。
目前,社會工程學帶來的威脅日益增加,不法分子利用人性的弱點,通過欺騙和操縱來獲取機密資訊;機構對此缺乏足夠的重視則更令人擔憂。僅有一人掌握密碼的做法,不僅使機構面臨內部風險,還為外部攻擊者提供了可乘之機。密碼遺失絕不能成為推卸責任的藉口,反而應視之為機構管理制度不完善的警號。
為了防止類似事件再次發生,機構必須採取一系列措施。首先,建立完善的密碼管理制度至關重要。關鍵密碼應在安全的前提下,由多位授權人員共同管理,採取權限分級和備份機制,防止單點故障帶來的風險。第二是加強員工的資訊安全意識培訓,讓每個人都了解密碼管理的重要性,以及遺失密碼可能帶來的嚴重後果。這不僅僅是技術問題,更是管理與教育的課題。
此外,機構應引入先進的技術手段,使用企業級的密碼管理工具,實現密碼的安全存儲、共享和審計。定期更新和檢查密碼,確保系統的安全性和穩定性。同時,建立嚴格的內部監管機制,明確各級人員的職責與權限,確保在任何情況下,都有適當的人員能夠及時處理緊急狀況。
此次事件為所有機構敲響了警鐘。資訊安全不是某個部門或個人的責任,而是整個機構需要共同承擔的使命。管理層必須高度重視,從制度上杜絕僅有一人掌握關鍵資訊的現象,防止資訊孤島(Information Silo)的出現。員工也應該自覺提升安全意識,嚴格遵守機構的資訊安全規定,積極參與安全防範工作。
事件發生後,校長公開落淚,體現了他對學生權益受損的深刻懊悔,也反映出管理層對於資訊安全疏忽帶來嚴重後果的認知不足。但是,情感的宣洩無法彌補制度的缺失,惟有採取實際行動,才能真正保障學生和機構的利益。社會各界也應以此為鑑,全面提升對資訊科技的認知和管理水平。惟有通過完善的制度設計、採用先進的技術手段,以及全體人員的共同努力,才能有效保障資訊安全,維護機構的正常運作和聲譽,避免類似事件的再次發生。
