九成中小學網站、內聯網未加密 易遭黑客入侵增資料外洩風險

全球正受到網絡黑客攻擊的威脅，過往亦曾有學校的網絡保安漏洞而遭受損失。有資訊科技團體關注問題，委託公司調查過千間中、小學的網絡保安保障程度。結果發現，平均約90%受訪學校的網站和內聯網均未經加密，學校資訊因網頁伺服器未進行加密及有效認證，在傳輸過程中易被黑客篡改，造成保安漏洞，增加資料外洩風險。
團體其後再向學校發問卷，竟發現仍只有10.2%學校會在半年內計劃改善，超過60%學校回應「不知道」和「不會」，主要因手續繁複，以及價錢和時間問題。

資訊科技教育領袖協會今年4月委託環速集團執行「 全港學校網站安全普查」，檢視全港1046中、小學，以及國際學校的網站使用https傳輸資料情況，結果發現，只有143間學校的網站和73間學校內聯網網站有安裝憑證，以https作數據傳輸加密，分別只佔13.7%和8%。

資訊科技教育領袖協會黃健威分析指，一旦學校未有https的身份認證，黑客容易偽裝成該學校的釣魚網站，欺騙教師或家長在釣魚網站登入，騙取其登入帳號和密碼，黑客便可順利利用「真實」身份作後續詐騙，如發通告要求家長繳交相關款項等。科技公司環速集團資訊科技總監李曉暉補充，部分學校開始在內聯網使用電子支付系統，一旦家長的資料外洩，涉及的損失或更大。

學校怕麻煩、資訊保安意識亦不足

然而，這些潛在的保安漏洞似未對各學校造成警惕。協會在調查後再向學校發出問卷調查，關注改善措施，在收回的186份問卷中，過半學校持份者認為https的保安傳輸和身分認證重要，惟只有10.2%學校回應指會在半年內設立有關保安安排，超過60%回應「不知道」和「不會」。

黃健威表示，學校多稱因手續繁複問題，如須要來回用電郵向相關組織核實學校真實身分，需要校長簽署多份文件才辦妥，令兼顧資訊科技的教職員難以分身處理，加上價錢問題因素，令改善措施無從落實。調查更發現，有17.7%學校回應指「沒有需要」，黃健威補充指，有學校對資訊保安意識不足，認為收集的資料不值錢，惟家長和學生的個人資料，如聯絡方法、成績、甚至身分證號碼均無必要曝露於危險中，學校應正視。

建議學校盡快為網站內聯網系統加密

李曉暉表示，一般申請https和相關保安認證，費用由免費到2000元不等，最高級的認證服務亦只需時約兩星期左右。香港互聯網註冊管理有限公司資訊科技總監李頌康建議，學校應盡快為網站內聯網系統加密，取得相關https安全憑證，學校亦應定期為網站作安全健康檢查，如定期檢查憑證安裝是否正確，以及定期掃描偵測惡意軟件，同時亦可採用DNSSEC技術，即確保用戶可被引領到真實網站，免受網絡攻擊威脅。