來論｜數據安全不可忽視 防患未然方為上策

近期香港有多宗個人資料外洩事故，包括兩間公營機構先後遭黑客以勒索軟件攻擊，引起全城關注。放眼海外，上月亦有營運賭場的國際酒店集團被黑客入侵，以致電腦系統癱瘓、大量資料被竊取。事實上，根據網絡安全公司Check Point今年8月公布的報告，全球每周網絡攻擊的平均次數在今年第二季期間激增8%，增幅屬兩年來最顯著。私隱專員公署對接連發生的個人資料外洩事件非常關注，為幫助業界應對日益增加的網絡安全威脅，在這裏與大家分享幾個建議。

勒索軟件攻擊是最常見的網絡攻擊手段之一，黑客往往以軟件加密受害者的電腦檔案，並要求支付贖金以換取解密金鑰。對機構而言，電腦系統遭到勒索軟件攻擊無疑帶來沉重代價──癱瘓機構日常運作、商譽受損、商業機密外洩、恢復電腦系統的額外開支……即使順從黑客要求（這筆者絕不認同），並支付巨額贖金，也不能保證檔案可獲解密。對市民大眾來說，若機構遭受網絡攻擊，或導致其個人資料外洩，包括電話號碼、身份證號碼、銀行帳號等等。被盜的個人資料有機會被放上暗網放售，不法之徒更可能會利用這些資料申請借貸或申請信用卡，令受害市民煩擾不堪。
機構宜未雨綢繆

上述所報道的黑客攻擊事件多牽涉大機構、大企業，它們通常管有較多個人資料，引來黑客垂涎看似理所當然，反觀中小企規模較小、保存的個人資料亦相對較少，其資料外洩風險是否必定較低？其實不然。縱使大家往往把焦點放在大規模資料外洩事故，但本港逾98.5%企業屬中小企，它們礙於資源所限，網絡保安措施或較薄弱、易遭入侵，可見中小企面對的資料外洩風險及其潛在影響均不容忽視。面對網絡安全威脅，不論機構規模大小、屬於公營或私營機構，都有責任主動採取預防措施，加強電腦系統安全以抵禦惡意攻擊。保護客戶及員工的個人資料不僅僅是企業的社會責任，更是法例要求──香港《個人資料（私隱）條例》（《私隱條例》）保障資料第4原則訂明，資料使用者須採取所有切實可行的步驟，以確保其持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。

私隱專員公署建議，機構可採取以下資料保安措施、防患未然：定期進行數據保安系統風險評估；使用防火牆等軟件保護電腦網絡，並定期更新軟件；定期對資訊及通訊系統進行保安漏洞評估及滲透測試；實施修補程式的管理；加密傳輸中和存儲中的資料；以及分開內部資料伺服器與網絡伺服器等等。
培訓員工 建「人力防火牆」

除了以上資料保安措施，為員工提供適當培訓、提高員工的資料保安意識也必不可少。畢竟黑客的入侵手段，未必如電影和劇集中的描繪般高深、複雜。在一個平常的下午，一個飯氣攻心的員工，一時大意、點擊釣魚電郵裏一個連結，整個機構的電腦系統可能就此遭黑客入侵！因此，機構應考慮將演習納入資料保安培訓，例如在提供有關釣魚詐騙的培訓後，安排模擬釣魚郵件攻擊，以實戰幫助員工提高警覺、建立一道「人力防火牆」。若可在風險可控的環境從錯誤中學習，對員工、對機構皆有裨益。

私隱專員公署亦鼓勵各機構參考公署刊發的《資訊及通訊科技的保安措施指引》，指引提供一系列的資料保安措施建議，協助機構遵從《私隱條例》的相關規定。
團結一致 確保數據安全

隨公眾對個人資料私隱保障的期望與日俱增，機構亦應建立一妥善的個人資料私隱管理系統，以幫助機構循規地收集、持有、處理和使用個人資料，確保數據安全。此舉不但可以加強客戶對機構的信任，也能提升機構的聲譽與競爭力。現時各機構無論規模大小，都面臨類似的網絡安全風險，故此不論是制定資料保安措施的管理層，抑或是站在網絡安全最前線的員工，都必須攜手合作，主動防禦隨時來襲的網絡安全風險。總括而言，個人資料一旦外洩，就如覆水難收，機構防患於未然方為上策。
鍾麗玲
個人資料私隱專員