有電腦安全研究員質疑數碼港網絡安全政策形同虛設

私隱專員公署公布數碼港資料外洩事故調查報告，指事故源自數碼港多項缺失，未有採取足夠和有效措施保障資訊系統安全，也未有及時根據保留資料政策，刪除已屆保存期限的資料，違反相關規定。 電腦安全研究員賴灼東表示，數碼港作為管有大量個人資料數據的大型公司，並非一般中小型企業或非牟利機構，但只單靠一款軟件偵測攻擊，缺乏足夠內部系統保安評估，又長時間儲存個人資料，做法不能接受，網絡安全政策和技術形同虛設。 賴灼東說部分獵頭招聘公司同樣儲存大量個人資料，會每隔兩至三個月進行資訊系統審計，確保是否存在保安漏洞，事故反映數碼港管理層網絡安全意識不足，無投放足夠資源，加上未有任何罰則，令公司忽視網絡安全。他認為數碼港作為具規模，並在業界具標誌性的公司，應每半年進行一次系統審計，又建議安排內部專人監管公司私隱安全工作，清除超出期限儲存的個人資料。 賴灼東建議數碼港需要進行網絡防護演練，在公司採用「紅隊」和「藍隊」模式，模擬網絡攻擊和防衛，偵測資訊保安系統防守能力，形容如購買門鎖，需要試驗防衛工具是否牢固，不能單靠一個「信」字。 對於公署正與政府審視修訂《私隱條例》，研究加大罰則和引入行政罰款機制，賴灼東認為有助加強阻嚇力，敦促企業管理層加強監管，改善網絡安全措施。