金鑰竊取，駭客攻擊的捷徑

疫情之下，不少公私營機構都加速將服務數碼化，但因此也增加數據上的風險。近年，偷取企業用戶數據成為黑客頭號攻擊目標。根據統計，香港只有54% 的機構已經實行或者有計劃實行數據加密，反映本地企業係數據保密方面的危機感有待提升。有科技公司就專門為企業提供數據加密方案，確保用戶的數據唔會落入黑客手中。

要將數據加密一向都並不簡單，技術複雜固然係其中一個原因，但企業面對最大的挑戰，其實是不清楚敏感資料在哪裡，而且越來越多企業都會利用雲端平台，用戶資料被黑客截取的風險就更加高。所以企業決定做數據加密之前，其實是需要針對用戶資料的流動同運用做一個全面分析，檢討哪些資料需要加密，和哪個加密技術係最適合，同埋評估加密之後對業務同埋用戶有什麼影響。

數據加密有很多種，在香港最常見的是 Data-at-rest（靜態數據），即是針對資料儲存的地方進行加密，例如 Storage（存儲系統）、File（檔案）、和 Database（資料庫）。另一種的加密是 Data-in-motion（動態數據），即是資料在未儲存之前就已經加密，這種方法是需要多花功夫，透過修改程式同埋系統去完成。

數據加密就像用一個十分穩陣的夾萬去鎖起敏感資料，即使黑客成功入侵系統，都只會搵到個夾萬，換句話說用來開夾萬的鎖匙才是黑客的真正目標。所以除了做加密之外，企業應該把加密鎖匙經由 Key Management System (KMS) 分開保存，利用KMS 功能協助管理加密鎖匙，進行輪換(Rotation), 重新加密(Re-key) 或停用(Retire) 。企業還需要考慮在數據中心入面放置幾部 HSM (Hardware Security Module)。HSM 是現時唯一可以有效保護鎖匙（Key）和解密過程的精密機器。他除了可以偵測到邏輯上同埋實體攻擊之外，仲可以在必要的時候將鎖匙完全銷毀，換言之黑客即使攞到部HSM，都無辦法得到鎖匙將資料解密。

如何強化金鑰安全