網絡戰記「零時差」

2019年9月2日的那夜凌晨，九龍灣資訊系統控制中心的電子監察板發出警報，一組電腦系統的負載率突然由10%飆升至70%，並持續一段時間。地氈式偵查後發現，一群網絡黑客正潛行醫院管理局的網絡資訊系統，企圖盜取價值不菲的「寶藏」— 海量的病人資料。一場歷時336小時發生在虛擬世界的攻防戰正式展開……

發現惡意程式攻擊

負載率是指伺服器運行時的系統負荷量，數值突然飆升的情況偶有發生。為免系統因負荷超載而「死機」，資訊科技人員立即通報事件，修復系統，最終負載率回復正常水平。然而，人員在偵查時駭然發現，專業黑客以「零時差攻擊」技術嘗試入侵醫管局資訊系統，並在系統留下難以發現的蹤跡。醫管局立即將事件通知政府資訊科技總監辦公室，以及香港警務處網絡安全及科技罪案調查科。

資訊保安主管余法昌說，這次「零時差攻擊」屬專為醫管局「度身而設」的一次性惡意程式，故有理由相信是一隊專業黑客所為。由於程式從未披露，同事追尋黑客挑戰重重。「當時我們就如憑少量特徵，如在人潮如鯽的年宵市場中找出一個賊。我們推斷黑客數日前已在醫管局系統周邊踩線，就如竊匪勘察目標周圍的地理環境、觀察警衞位置和保安系統水平及運作模式、策劃潛入及逃跑路線、取得解除警報及夾萬開鎖方法等。」

未知數重重  來回攻守

據團隊當時了解，黑客仍未找到存放病人資料的「夾萬」。不過，黑客何時找到夾萬、潛入數量、逃走路線、會否毀滅全部系統資料等，均是未知數，故團隊必須分秒必爭處理事件。

系統分析主任姚偉強稱，黑客透過不同途徑包括盜取遠程登入帳號，並利用位於海外（俄羅斯、美國和新加坡等）電腦發動攻擊。「我們即時提升保安系統設定，封鎖已發現的潛入路線，並加設多重探測器監察黑客活動。同事亦24小時監察系統，確保沒有異常活動或資料外洩。」可是，黑客很快發現保安系統升級，隨即還擊，嘗試拆除追蹤探測器。

提升堵截防禦  黑客停止攻擊

來回攻防期間，同事發現及復修內部系統可被攻擊的地方，並提升防禦，如遠程登入系統由一次密碼登入，提升至雙重密碼登入；發放網絡安全提示，提醒員工保持警覺，避免開啟任何可疑電郵、附件或連結等。為確保黑客並非「裝死」匿藏於系統，資訊科技人員隨即在三個月內重新檢視多部重要的伺服器，提升防禦系統。9月16日，同事再沒有發現黑客的蹤跡，歷時兩周的網戰宣告結束。