隨著數碼化教學全面普及,本港中小學已成為網絡攻擊的主要目標。由於學校普遍存有大量師生及家長的敏感個人資料,加上網絡安全資源及意識相對薄弱,導致保安漏洞頻現。為應對此嚴峻挑戰,香港互聯網註冊管理有限公司(HKIRC)今日聯同資訊科技教育領袖協會(AiTLE)、香港警務處網絡安全及科技罪案調查科(網罪科)及羅兵咸永道香港,共同發布全新的《香港學校網絡安全指南》,為教育界提供一套全面且易於執行的防護框架。
在發布會上,業界專家披露的數據揭示問題的嚴重性。羅兵咸永道的研究發現,單在2025年上半年,已有超過11,484個與本港教育界相關的帳戶憑證,因資訊竊取程式而在深網及暗網洩漏;同時,至少有299個可被公眾連接的遠端服務端點及超過30個存在嚴重漏洞的端點暴露於風險之中,為黑客大開方便之門。這些潛在的入侵途徑,正對全港學校的資訊系統構成真實且迫在眉睫的威脅。
勒索軟件損失金額飆逾十倍 系統三大漏洞成入侵關鍵
網罪科警司許綺惠指出,雖然2025年上半年的整體科技罪案宗數升幅輕微,但損失金額卻按年大增近15%,高達30.48億港元。其中,勒索軟件攻擊的形勢尤其險峻,儘管案件宗數由30宗下降至21宗,損失金額卻飆升近11倍,由330萬港元激增至3,940萬港元。她分享案例指,有小學因外判IT人員設置了弱密碼的VPN而遭黑客入侵,導致學生資料外洩;亦有大學因未及時修補系統漏洞,網頁遭篡改為賭博網站,嚴重影響校譽。
許警司續指,學校系統普遍存在「遠端存取控制不足」、「防火牆及系統未及時修補」及「缺乏威脅偵測機制」三大漏洞,讓黑客能長期潛伏而不被發現。為協助學校應對挑戰,新發布的《香港學校網絡安全指南》聚焦四大實用領域,提供「即用式網安政策模版」、「實際案例參考」、「學校典型事故應對流程」及「網安配置推薦清單」,從政策制定到技術執行,為學校提供清晰指引,助其在事故發生時能迅速行動,將損失減至最低。
專家倡「零信任」架構 冀提升業界整體防護意識
資訊科技教育領袖協會主席黃健威坦言,學校普遍因預算及資源緊絀,各校的網安專業水平參差不一,導致防護能力不足,期望此指南能輔助政府推行更全面的學校網安政策。羅兵咸永道網絡安全和私隱服務合夥人顏國定亦指出,學校網絡因使用者類型繁多而管理困難,加上資源投放不足,令風險加劇。他希望透過實用的指南,協助學校建立更穩健的網安框架。
為此,許綺惠建議學校應以「治理先行」,並提倡採用「零信任」理念,推行多因素認證(MFA)及基於角色的存取控制,以最小權限原則強化內部防護。HKIRC行政總裁黃家偉工程師則表示,是次指南是其「網絡防禦一站通(Cybersec One)」支援計劃的一部分,該計劃將免費為學校提供網站檢測、風險評估及員工培訓等一站式服務,旨在從根本上協助資源有限的學校,全面提升其網絡安全水平及應變能力。
Source:HKIRC