文匯快評︱與黑客私了　Canvas放虎歸山

文/文平理

電子學習平台Canvas早前被黑客入侵，盜取全球約2.75億用戶資料，影響遍及逾9,000間教育機構，包括香港理工大學、香港建造學院、香港教育城有限公司、香港科技大學、香港城市大學及香港演藝學院等，涉及姓名、電郵地址、課程名稱、報讀課程資訊。在盜取資料後，黑客發函要求Canvas及受影響院校支付贖金。在社會都在關注黑客動向與執法進展之際，Canvas母公司Instructure表示，已跟黑客達成協議，黑客同意歸還竊取的資料。涉案黑客組織的所為有計劃、有預謀，影響重大，過去亦有前科，Canvas選擇與黑客妥協，無異於放虎歸山，令黑客有恃無恐。更令人擔心的是，黑客可能會製作副本，日後或再用這些私隱資料進行其他不法活動。面對電腦黑客，任何人都不可「跪低」，執法部門要追緝到底。

有媒體披露，今次發動網絡攻擊的黑客組織名為「閃亮獵人」。組織前年5月就聲稱過，盜取了全球網上票務平台Ticketmaster 5.6億客戶的個人資料，勒索50萬美元贖金。他們犯法後仍在耀武揚威，嚴重挑戰法律底線。如今網絡科技犯罪手段五花八門，不法分子取得個人資料私隱，極易用於進行詐騙等犯罪活動。Canvas作為教育界廣泛使用的學習平台，掌握大批學生資料，本來應做好網絡及數據安全風險管控。如今數據保安出現疏忽，令資料外洩，已經使Canvas失去用戶的信心，事後Canvas與這群黑客妥協，更是一錯再錯，執法部門是否要追查下去，處境也變得相當為難。

事件反映，院校使用第三方學習平台，相關平台有多安全、能否加密敏感信息，只能自求多福，仰賴平台自覺維護。當突發狀況出現，例如這次黑客入侵等，院校的角色也往往處於被動。

事件突出了院校有必要考慮自行研發學習與教研系統，把握數據安全維護主動權。雖然要自行研發和維護平台需要一定成本，但院校有責任保護教職員與學生的利益，自行研發與維護的好處，無論如何都大於師生身陷風險時的損失。而且，香港致力發展國際創新科技中心，數據安全是一切創科工作的基礎保障。有安全才能有發展，安全責任不能外包到第三者手上。本港高校自行建設安全、易用、有效的學習平台，更能彰顯其教育樞紐形象，吸納各方人才來港進修與開展事業。