數碼港洩密 5大漏洞捱批

數碼港電腦系統去年遭黑客入侵，導致逾1.3萬人個人資料外洩。個人資料私隱專員公署昨日公布事故調查報告，指事故源於數碼港5項缺失，包括資訊系統欠缺有效偵測措施、個人資料被不必要地保留等。私隱專員鍾麗玲表示，已將報告及執行通知送達數碼港，要求對方在兩個月內完成有關糾正指示，之後向公署提交證據，又指如再次違規，將屬刑事罪行；公署並建議數碼港設立個人資料私隱管理系統，委任保障資料主任，適時對系統進行風險評估，以及適時刪除個人資料，防止類似違規再次發生等。
數碼港去年向公署通報資料外洩事故，指其電腦系統和檔案伺服器被勒索軟件攻擊和惡意加密，事故導致逾萬人的個人資料外洩。私隱專員公署調查後發現，有13632名員工和求職者的個人資料遭洩漏，當中包括5292名求職者的個人資料，部份超過法例容許的保留期限。涉及的個人資料包括姓名、身份證號碼、身份證的副本、護照號碼，亦有部分人士的財務資料，例如銀行帳戶號碼、醫療報告、照片、僱傭資料，亦有部分人的信用卡資料。鍾麗玲形容事件披露的個人資料範圍相當大。
逾1.3萬人受累  姓名身份證任睇

鍾麗玲指，數碼港是一間具規模的機構，持有並處理大量人士的個人資料，公眾會合理地期望數碼港投入足夠資源，確保其資訊系統及數據的安全。而數碼港沒有採取所有切實可行的步驟，確保涉事個人資料受保障而不受未獲准許或意外的查閱、處理、刪除、喪失或使用所影響，違反《私隱條例》保障資料原則下有關個人資料保安的規定，而在保留個人資料亦違反相關規定，故已向數碼港送達執行通知，指示數碼港在兩個月內糾正其違反的事項。

鍾麗玲表示，今次事故是由5個缺失所導致，包括資訊系統欠缺有效的偵測措施；沒有為遠端存取資料啟用多重認證功能；對資訊系統進行的保安審計不足，未能適時應對資訊科技的變化及網絡安全的風險；資訊保安政策有欠具體，未讓員工有具體框架可依循；以及個人資料被不必要地保留。
過期保留資料  未遵政策無解釋

鍾解釋，事件中約有4成受影響人士、即逾5200人是求職者或是已離職僱員，而根據數碼港資料保留政策，只保留求職者資料1年，僱員資料則於相關人士在職時才會保留，但調查發現部分資料遠於2016年保留至今，數碼港亦未能解釋為何未按政策刪除資料。

她指，若數碼港有按政策和步驟刪除資料，受影響的人數會大大減少。

鍾麗玲又提到，《私隱條例》下若資料被洩的當事人蒙受損失，可透過民事訴訟索償，受影響人士須提供證據，如有需要，私隱專員公署會提供法律意見、調解和協助索償等服務。而事件發生至今，私隱專員公署共收到65宗相關查詢及33宗投訴。

自稱「Trigona」的黑客組織於去年8月6日透過「暴力攻擊」、即以程式「撞密碼」的形式攻擊，取得一個具有管理員權限的帳戶進入數碼港的網絡，繼而再取得另外3個具有管理員權限帳戶的控制權，並成功關閉系統反惡意軟件的功能，再加密資料勒索。直至去年8月14日，黑客加密系統內的資料，數碼港才發覺。