数码港在2023年8月发生黑客入侵事件,导致超过1.3万人的资料外洩。个人资料私隐专员公署完成相关调查,昨日发表调查报告。私隐专员公署调查发现,数码港存在五大缺失,导致今次事件发生,包括资讯系统欠缺有效的侦测措施;资讯保安政策有欠具体;以及个人资料被不必要地保留等。我们认为,数码港是一间具一定规模的机构,经常地处理大量个人资料,存在上述缺失实在让外界相当诧异,如今认真跟进是必然的事,而具体责任似乎亦需追究。
数码港的电脑系统及档案伺服器遭受到勒索软件攻击及恶意加密,自称Trigona的黑客组织要求数码港支付赎金,为已被加密的档案解锁。事件导致超过1.3万名资料当事人的个人资料外洩,当中约40%受影响人士为求职者及已离职僱员。
私隐专员钟丽玲指出,今次资料外洩事故是由于数码港存在五大缺失所导致,包括资讯系统欠缺有效的侦测措施,导致未能有效地侦测黑客以暴力攻击其资讯系统,令黑客能成功获取具管理员权限的帐户凭证,并继而进行勒索软件攻击及窃取储存于系统内的个人资料;没有为远端存取资料启用多重认证功能,以核实获授权可远端登入数码港网络的用户身分,导致黑客能利用获取的帐户凭证透过远端桌面连接进入数码港的网络,窃取个人资料;对资讯系统进行的保安审计不足,未能适时应对资讯科技的变化及网络安全的风险;资讯保安政策有欠具体 ,未能让员工有一个具体的网络保安框架可依循;以及个人资料被不必要地保留,没有根据其资料保留政策在保留期届满后删除所收集得的个人资料,导致约40%受影响人士因其个人资料被不必要地保留而受该资料外洩事故影响。
数码港董事局较早前成立的专责小组,已经完成督导调查及跟进等工作,称内部资讯保安存在改善空间,已加强多项措施,而数码港亦已向私隐专员公署提交调查报告。数码港指出,专责小组的调查发现,数码港在内部资讯保安及数据管理方面存在改善空间。数码港已加强多项措施,持续提升各个营运层面的资讯系统保安及数据安全水平和意识,同时已审视并加强有关个人资料管理的措施,以确保完全符合私隐条例订明的个人资料保障原则。
我们认为,数码港是一间具一定规模的机构,经常地处理大量个人资料,存在上述缺失实在让外界相当诧异,如今认真跟进是必然的事,而具体责任似乎亦需追究。例如根据数码港上述的说法,反映内部资讯保安过去存在问题,资讯系统保安及数据安全水平亦有不足,究竟内部的相关部门是否负有责任,很值得研究跟进。汲取教训是必然,但责任追究也是必须的,这样才能重整机构内的管治文化,认真地面对这次资料外洩事件。 |
您可能有兴趣:
|