公布數碼港資料外洩調查結果 私隱專員促最少每年一次風險評估
【點新聞報道】個人資料私隱專員公署(私隱專員公署)完成對香港數碼港管理有限公司(數碼港)資料外洩事故的調查,今日(2日)舉行記者會,個人資料私隱專員鍾麗玲、高級個人資料主任(合規及查詢)盧浩榮發表調查報告。
據介紹,事件源於數碼港去年9月被黑客入侵,電腦系統及檔案伺服遭受到勒索軟件攻擊及惡意加密,超過400G機密資料外洩。其後,自稱Trigona的黑客組織要求數碼港支付贖金,為已被加密的檔案解鎖。事件導致超過13,000名資料當事人的個人資料外洩,當中約四成受影響人士為求職者及已離職僱員。
經過調查,個人資料私隱專員(私隱專員)鍾麗玲認為該資料外洩事故是因存在五項漏洞:
- 一、資訊系統欠缺有效的偵測措施,導致未能有效地偵測黑客以暴力攻擊其資訊系統,令黑客能成功獲取具管理員權限的賬戶憑證,繼而進行勒索軟件攻擊及竊取儲存於系統內的個人資料;
- 二、沒有為遠端存取資料啟用多重認證功能,以核實獲授權可遠端登入數碼港網絡的用戶身份,導致黑客能利用獲取的賬戶憑證透過遠端桌面連接進入數碼港的網絡,竊取個人資料;
- 三、對資訊系統進行的保安審計不足,未能適時應對資訊科技的變化及網絡安全的風險;
- 四、資訊保安政策有欠具體,未能讓員工有一個具體的網絡保安框架可依循;
- 五、個人資料被不必要地保留,沒有根據其資料保留政策在保留期屆滿後刪除所收集得的個人資料,導致約四成受影響人士因其個人資料被不必要地保留而受該資料外洩事故影響。
鍾麗玲認為數碼港應保障載有個人資料的資訊系統的安全,採取足夠的機構性及技術性的保安措施。她指,數碼港是一間具規模的機構,恒常地持有並處理大量不同人士的個人資料,持份者及公眾會合理地期望數碼港投入足夠資源確保其資訊系統及數據的安全。然而調查顯示,數碼港在該資料外洩事故發生之前,未有採取足夠及有效的措施以保障其資訊系統的安全,亦未有及時根據其資料保留政策刪除已屆保存期限的資料。
基於上述原因,私隱專員認為數碼港違反了保障資料第4(1)及第2(2)原則有關個人資料保安的規定,並已向數碼港送達執行通知,包括徹底檢視數碼港載有個人資料的資訊系統的安全及其保安措施,確保無已知的惡意軟件及保安漏洞,以及具備有效的偵測措施;為所有會存取載有個人資料的數碼港資訊系統的遙距使用者實施多重身份認證,並定期檢視遙距存取的權限;聘請獨立的資訊保安專家對數碼港的資訊系統進行最少每年一次的風險評估及保安審計;制訂清晰及全面的資料系統保安政策及程序,涵蓋防範、偵測及應對網絡攻擊的各種管控措施,及進行風險評估及保安審計的要求;從數碼港資訊系統銷毀所有逾期保留的個人資料;制訂清晰的資料保留政策,訂明每個數碼港系統內個人資料的保留期限,及制訂刪除已屆保留期限的個人資料的執行細節;制訂並實施有效措施以確保員工遵循上述第(4)及(6)項的政策及程序;由執行通知的日期起計兩個月內向專員提供文件,證明已完成上述第(1)至(7)項指示。
私隱專員亦希望藉此報告,向使用資訊及通訊科技處理個人資料的機構作出建議:設立個人資料私隱管理系統並委任保障資料主任;建立穩健的網絡保安框架;適時對資訊系統進行風險評估及保安審計;建立重視資訊安全的企業文化;及適時刪除個人資料。
(點新聞記者李九歌報道)
相關報道:
