修例賦權增罰則 保障私隱非口講須有阻嚇力
2024-04-03 00:00 
數碼港疏忽頻犯低級錯誤
公署調查指,黑客去年成功通過「暴力攻擊」,即以程式「撞密碼」形式攻擊,先後取得四個具有管理員權限的帳戶,進入數碼港的網絡,成功關閉系統反惡意軟件的功能,再加密資料進行勒索,有逾1.3萬名員工和求職人士的個人資料外洩,而事故源於5項缺失,包括資訊系統欠缺有效偵測措施、未有為遠端存取資料啟用多重認證功能、對資訊系統進行的保安審計不足、資訊保安政策有欠具體,以及個人資料被不必要地保留。
數碼港作為本港最具規模的創科重鎮,逾百間資訊科技公司雲集,理應在網絡系統方面是最尖端和最安全的,卻竟然犯了最低級錯誤,相信主因是人為疏忽所致,實在叫人感到驚訝和無法接受。首先,沒做好網絡防禦工作。任何一間具規模的企業均不會只倚賴一款反惡意軟件,也不會容許黑客以「撞密碼」程式解鎖帳戶,以網上銀行為例,若連續3次輸入錯誤密碼,便會即時凍結帳戶,客戶須親身到銀行辦理解鎖程序。可是,數碼港卻偏偏只安裝一款反惡意軟件,而且竟然讓黑客接連以「撞密碼」程式取得四個具有管理員權限的帳戶,也沒有對遠端存取資料採用雙重認證技術以核實用戶身份,明顯是做得非常不到位。
數碼港也缺乏安全意識,每兩年才為資訊系統做風險評估和保安審計。在當前黑客肆虐,不時會攻擊不同政府機構或私人企業網站,試圖找出弱點,因此機構和企業有必要加密檢視資訊系統安全的頻率,才有機會在恆常檢視中發現系統保安是否有紕漏,並盡快作出修補,讓黑客難以得逞。
此外,數碼港明顯違反政策規定,在沒有合理解釋下長期保留個人資料。按照規定,求職者資料只保存一年,僱員資料在離職時便會刪除,可是在今次事件有近5300名求職者和離職人士因數碼港逾期保存其個人資料而受影響,當中最離譜的是2016年求職者的資料卻遲遲未刪除。
儘管公署裁定數碼港違反《私隱條例》,唯一可做的是發出執行通知,要求其徹底檢視資訊系統安全及保安措施、實施遙距使用者多重身份認證、銷毀所有逾期保留資料,皆因條例規定除非機構沒有依法執行通知,才屬刑事罪行,屆時公署才有權開罰單,而罰款最高僅5萬元和監禁兩年。正是這個緣故,公署一直被譏為無牙老虎,個人資料私隱專員鍾麗玲亦借今次事件,舊事重提,要求政府盡快修例,引入行政罰款機制。
宜效歐盟引入行政罰款機制
現行條例的確有很多不足之處,法例沒強制要求機構通報資料外洩,只要求遵從自願通報原則;法例表面上有罰則,但極難執行,而且罰則過輕,令很多機構沒有重視保障網絡數據安全工作。反觀其他地區在保障私隱的罰則較重,例如歐盟對保障私隱不力的企業,輕則罰款1000萬歐羅或上年度環球營業額的2%,情節嚴重則罰款2000萬歐羅或上年度營業額的4%,以較高者為準,令企業和機構重視保障個人資料。
隨着網絡攻擊日益頻繁,港府和企業應吸取今次數碼港事件的教訓,做好網絡保安之餘,更應重視公署的訴求,盡快修例,加重罰則,並賦權公署按情節嚴重性向違規機構開罰單,令公署成為有牙老虎,機構也提高保護網絡安全的積極性。
關鍵字
最新回應