數碼港電腦系統遭黑客入侵事件 私隱署批5大缺失 裁違私隱條例

on.cc 東網

【on.cc東網專訊】去年8月有黑客入侵數碼港電腦系統,盜取超過400GB數據,1.3萬名員工和求職者的個人資料遭外洩。私隱專員公署今日(4月2日)公布調查報告,指事件因5項缺失導致,包括資訊系統欠缺有效偵測措施、未有為遠端存取資料啟用多重認證功能、對資訊系統進行的保安審計不足、資訊保安政策有欠具體,以及個人資料被不必要地保留。公署同時裁定數碼港違反私隱條例規定,並發出執行通知。

公署表示已向數碼港送達執行通知,要求5月底前更正違規事項,又建議公司設立個人資料私隱管理系統,並委任保障資料主任,適時對系統進行風險評估,及適時刪除個人資料,防止類似違規再次發生。

私隱專員鍾麗鈴指出,數碼港只設一款反惡意軟件,而且對於遠端操作未有作多重認證,作為一所存有大量個人資料的機構明顯不足。她又提到,機構不必要地保留個人資料,導致受影響人數大增。按數碼港規定,求職者資料只保存一年,僱員資料離職時便會刪除,不過事件中有近5,300名求職者及離職人士因為公司逾期保存其個資而受影響,當中2016年的求職者個資亦因此外洩。

她續稱,數碼港是一間具規模的機構,恒常持有並處理大量不同人士的個人資料,持份者和公眾會合理期望數碼港投入足夠資源,確保系統和數據安全,因此應採取足夠保安措施。現時私隱條例被質疑「無牙老虎」,機構違規後只需按滿足署方要求就不會有處分,鍾女士回應指,署方正研究對違規機構增加行政罰款,詳情會參考海外有關條例,又指按現時條例受影響人士可對違規機構索償,惟作索償時受影響人士要提供確實證據。

去年8月,數碼港向公署作出資料外洩事故通報,表示電腦系統及檔案伺服器遭受攻擊及加密,要求支付贖金為加密檔案解鎖。報告指,黑客透過「暴力攻擊」取得數個具管理員權限帳戶,進入數碼港內部網絡,從而展開攻擊並竊取個人資料,包括姓名、身份證副本及聯絡資訊,更有部分人的銀行帳號、醫療報告、薪資等被外洩。

數碼港回應指,專責小組的調查發現,數碼港在內部資訊保安及數據管理方面存在改善空間。數碼港已加強多項措施,持續提升各個營運層面的資訊系統保安及數據安全水平和意識;同時已審視並加強有關個人資料管理的措施,以確保完全符合《個人資料(私隱)條例》訂明的個人資料保障原則。

數碼港董事、網絡安全事件專責小組主席伍志強表示,自事件發生以來,專責小組與管理層積極審視及即時跟進,快速增強網絡及數據防護屏障,有效防範後續的網絡入侵攻擊,並致力支援受影響人士,盡力減低潛在影響,以及全面配合有關部門與私隱專員公署的調查。數碼港亦會加強內部審查,定期檢視執行資訊保安措施的情況,並向董事局轄下的審計委員會匯報,提升相關管治水平。數碼港主席陳細明就指,面對網絡攻擊日趨嚴重,數碼港以保障網絡及數據安全為首位,繼續優化整體網絡系統及資訊保安策略,積極採取資訊保安措施。

【更多即時新聞詳情請上東網新聞