【本報訊】國泰航空昨終就洩露940萬名國泰及港龍乘客資料的嚴重醜聞,向立法會提交4頁紙報告。文件稱,國泰今年3月發現系統遭黑客入侵後展開調查,當時黑客的攻擊正不斷增加,須花大量時間了解可能外洩的資料能否被黑客閱讀,待一切確認後才通報事件。電腦保安專家直斥國泰只顧自己,罔顧乘客利益,亦欠缺處理事故經驗,促國泰認真重整資訊保安架構,「唔好一味外判出去了事」。
報告披露,國泰3月採取行動堵截黑客及聘請第三方公司調查後,黑客加強攻擊,公司決定把資源集中於控制及防範方面,直至5月被攻擊次數稍為下降。國泰其後花3個月,了解哪些乘客資料被取覽或外洩,以及黑客能否在國泰系統以外地方讀取該些資料,8月中旬才得出答案,後才通知受影響乘客,10月24日才完成所有程序後通報外界。
專家斥罔顧乘客利益
國泰重申,系統所受攻擊「既精密又先進」,有數個複雜的系統受影響,調查工作亦牽涉大量的高技術範疇,分析需時,故通報也需時。截至昨日凌晨,國泰收到受影響乘客共5,622封電郵、19,005則網站查詢及5,031通電話。國泰再次就事件致歉。
華爾基利信息安全研究組織電腦保安研究員賴灼東表示,報告反映國泰的調查程序完全錯誤,置乘客利益於不顧。他指,參考美國處理資訊保安事故經驗,每當系統遭黑客入侵,公司便應作最壞打算,假定資料已經外洩,然後同時進行調查、通知乘客兩個程序,「hacker係唔會停止入侵,早啲通知乘客,佢哋早啲改密碼、cut信用卡,先可以將損害減低」。但國泰反其道而行,只以公司利益為先,嘗試自行解決問題後才通報,故演變成是次嚴重醜聞。他促請國泰認真重整資訊保安架構,包括聘用資訊科技執行官。
■記者于健民