數碼港在2023年8月發生黑客入侵事件,導致超過1.3萬人的資料外洩。個人資料私隱專員公署完成相關調查,昨日發表調查報告。私隱專員公署調查發現,數碼港存在五大缺失,導致今次事件發生,包括資訊系統欠缺有效的偵測措施;資訊保安政策有欠具體;以及個人資料被不必要地保留等。我們認為,數碼港是一間具一定規模的機構,經常地處理大量個人資料,存在上述缺失實在讓外界相當詫異,如今認真跟進是必然的事,而具體責任似乎亦需追究。
數碼港的電腦系統及檔案伺服器遭受到勒索軟件攻擊及惡意加密,自稱Trigona的黑客組織要求數碼港支付贖金,為已被加密的檔案解鎖。事件導致超過1.3萬名資料當事人的個人資料外洩,當中約40%受影響人士為求職者及已離職僱員。
私隱專員鍾麗玲指出,今次資料外洩事故是由於數碼港存在五大缺失所導致,包括資訊系統欠缺有效的偵測措施,導致未能有效地偵測黑客以暴力攻擊其資訊系統,令黑客能成功獲取具管理員權限的帳戶憑證,並繼而進行勒索軟件攻擊及竊取儲存於系統內的個人資料;沒有為遠端存取資料啟用多重認證功能,以核實獲授權可遠端登入數碼港網絡的用戶身分,導致黑客能利用獲取的帳戶憑證透過遠端桌面連接進入數碼港的網絡,竊取個人資料;對資訊系統進行的保安審計不足,未能適時應對資訊科技的變化及網絡安全的風險;資訊保安政策有欠具體 ,未能讓員工有一個具體的網絡保安框架可依循;以及個人資料被不必要地保留,沒有根據其資料保留政策在保留期屆滿後刪除所收集得的個人資料,導致約40%受影響人士因其個人資料被不必要地保留而受該資料外洩事故影響。
數碼港董事局較早前成立的專責小組,已經完成督導調查及跟進等工作,稱內部資訊保安存在改善空間,已加強多項措施,而數碼港亦已向私隱專員公署提交調查報告。數碼港指出,專責小組的調查發現,數碼港在內部資訊保安及數據管理方面存在改善空間。數碼港已加強多項措施,持續提升各個營運層面的資訊系統保安及數據安全水平和意識,同時已審視並加強有關個人資料管理的措施,以確保完全符合私隱條例訂明的個人資料保障原則。
我們認為,數碼港是一間具一定規模的機構,經常地處理大量個人資料,存在上述缺失實在讓外界相當詫異,如今認真跟進是必然的事,而具體責任似乎亦需追究。例如根據數碼港上述的說法,反映內部資訊保安過去存在問題,資訊系統保安及數據安全水平亦有不足,究竟內部的相關部門是否負有責任,很值得研究跟進。汲取教訓是必然,但責任追究也是必須的,這樣才能重整機構內的管治文化,認真地面對這次資料外洩事件。 |
您可能有興趣:
|