熱爆娛樂 +: 英國報告揭校園網絡威脅　逾半數據外洩事件由學生造成

2025年9月20日星期六

英國數據保護監管機構 Information Commissioner’s Office（ICO）指出一個令人憂慮的趨勢，學生正成為校園網絡安全威脅的主要來源。ICO 最新報告顯示，學生參與超過半數校園內部網絡攻擊事件，專家警告這種行為可能將年輕人推向網絡犯罪的道路。

ICO 分析 2022 年 1 月至 2024 年 8 月期間 215 宗校園內部數據外洩報告，發現當中 57% 事件由學生造成。更值得關注的是，近三分之一的攻擊因學生猜中常用密碼或發現教職員寫下的登入數據而成功。學生在涉及竊取登入憑證的攻擊中佔 97%，突顯校園網絡安全防護存在嚴重漏洞。

報告指出，只有 5% 攻擊需要較複雜技術繞過安全控制系統。ICO 舉例指，3 名 11 年級學生（15 至 16 歲）使用從網上下載的工具破解密碼及繞過安全協議，成功入侵學校的學生資訊系統，獲取超過 1,400 名學生的個人數據。調查發現，其中 2 名學生承認曾參與網上黑客討論區。

ICO 主要網絡安全專家 Heather Toomey 表示，學生進行黑客攻擊的動機包括挑戰、追求名聲、金錢、報復及競爭等因素。「在學校環境中看似挑戰或娛樂的行為，最終可能導致兒童參與對機構或重要基礎設施造成破壞的攻擊」。

National Crime Agency 數據顯示，10 至 16 歲兒童中有五分之一承認曾參與非法網上活動，最年輕的個案涉及 7 歲兒童。研究發現，約 5% 的 14 歲青少年承認曾進行黑客活動，主要為英語男性，但女性參與的比例亦在上升。

報告揭示了校園數據保護措施薄弱的問題。近四分之一的數據外洩事件源於教職員讓學生使用其裝置等不當做法；20% 攻擊因教職員使用個人裝置處理工作而發生；17% 外洩事件因 Microsoft SharePoint 等系統的存取控制不當造成。

在另一宗個案中，一名學生非法存取學院的資訊管理系統，瀏覽、修改或刪除超過 9,000 名教職員、學生及申請者的個人數據。攻擊者透過教職員的登入數據獲得系統存取權限。

ICO 形容調查結果「令人擔憂」，並敦促學校採取行動解決問題。建議包括更新 GDPR 培訓、改善網絡安全及數據保護措施，以及及時報告外洩事件。

監管機構強調，學校需要更深入理解「內部威脅」的概念，並採取適當的補救措施。專家建議家長及學校應引導學生將好奇心轉向合法正面的渠道，避免年輕人因一時興起而踏上網絡犯罪的道路。