全球廣泛應用的教學管理系統(LMS)Canvas,其母公司 Instructure 日前正式承認,在早前發生的網絡安全事故中,已與未經授權的黑客達成協議,透過繳付贖金換取對方交還數據及銷毀備份。雖然官方強調核心教學數據未受影響,但事件已在教育科技界(EduTech)引發劇震,質疑企業應對勒索軟件的策略是否正確。
根據 Instructure 首席執行官 Steve Daly 發表的聲明,是次事故涉及部分環境的未經授權訪問。受影響的數據欄目包括用戶名、電子郵件地址、課程名稱、入學資訊及訊息等,但強調核心學習數據如課程內容、提交的作業及憑證並未洩漏。公司隨後確認與黑客達成協議,黑客已歸還數據並提供數位銷毀確認。黑客組織亦發表聲明指,該批數據已「不復存在」,並表示不會再向受影響機構索取金錢。
營運現實與安全隱患 教育界信任陷危機
雖然 Canvas 目前已全面恢復運作,並啟動了專門的事故更新頁面以重建信任,但「付錢了事」的做法卻備受爭議。針對今次 Canvas 選擇繳付贖金以取回數據,香港資訊科技商會榮譽會長方保僑認為,從營運現實來看,公司停擺每一小時都是金錢與聲譽的損失,這種抉擇是可以理解的,但他警告:「支付贖金往往是飲鴆止渴。」
方保僑指出,現實中支付贖金並非萬靈藥。首先,這無法保證能拿回完整的數據,更無法確保黑客沒有在系統內留下「後門」以便日後再度入侵。更危險的是,一旦企業開了繳付贖金的先例,很容易在黑客圈子中被標籤為「優質客戶」,未來極可能招致更頻繁且針對性的網絡攻擊。
專家建議資源轉向 加強網絡韌性方為上策
面對系統癱瘓與數據勒索,方保僑建議企業應改變思維。他認為最實際的做法是將原本準備交予黑客的「贖金」,轉化為「搶救資金」,即時聘請專業資安團隊進行系統重建與數據清洗。與其將資金交予犯罪者換取一個不確定的承諾,倒不如將資源放在加強網絡韌性(Cyber Resilience),提升防禦與復原能力。
對於依賴 Canvas 進行日常教學的院校及老師,Instructure 表示目前無需採取任何行動,並承諾會分享詳細的取證報告。然而,這宗事件為全球教育機構敲響了警鐘:當數百萬學生的個人資訊存放在雲端平台時,供應商的防禦架構及事故應變機制是否足以承受日益猖獗的網絡罪案?
Source:ezone.hk、Canvas、方保僑