私隱公署裁定 兩機構違私隱例

2024-08-09 00:00

私隱專員公署發表兩宗資料外洩事故的調查結果。圖中為私隱專員鍾麗玲。
私隱專員公署發表兩宗資料外洩事故的調查結果。圖中為私隱專員鍾麗玲。

中小企及非牟利組織資源有限,網絡安全響起警號。香港桂冠論壇委員會及香港芭蕾舞團去年先後發生資料外洩事故,個人資料私隱專員公署昨公布相關調查結果,裁定兩機構違反《個人資料(私隱)條例》有關個人資料保安的規定。私隱專員已送達執行通知,指示其採取措施糾正違規事項,並防止類似違規情況再次發生。有專家指,不少中小型機構資訊保安意識薄弱,未定期更新軟硬件,建議機構加密存有客戶資料的資料庫,「至少黑客偷走後要解密。」
桂冠論壇於去年9月向私隱專員公署通報資料外洩事故,指電腦系統及檔案伺服器遭勒索軟件攻擊。調查確定有8122人受事件影響,包括電子通訊訂閱戶、青年科學家申請人、邵逸夫獎得獎者、本地科學家及講者等。懷疑外洩個人資料包括姓名、地址、電郵地址、電話號碼、護照資料、銀行戶口、信用卡資料等。
已發執行通知促採措施糾正

公署調查顯示,黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶憑證,進入伺服器放置勒索軟件,再加密及作破壞。公署指,桂冠論壇的資訊系統管理欠妥善,防火牆韌體過時並存在多項嚴重漏洞,防毒軟件的病毒資料庫自2019年起不曾更新。機構也欠缺適當的數據備份方案,未將原始數據及備份數據存放於不同網絡,導致備份數據在外洩事件中遭黑客毁壞,無法進行數據復原。

芭蕾舞團方面,公署於去年10月接獲其資料外洩事故通報,指遭勒索軟件攻擊,導致其資訊系統的4組實體伺服器受影響。調查發現,由於芭蕾舞團無法確實受影響檔案內的資料,估計或有37840人受影響,包括僱員、門票訂購者、客席藝術家、捐款者等。涉及的個人資料包括身份證號碼、護照號碼、相片、銀行戶口號碼、僱傭資料及學歷資料等。

調查顯示,由於當時芭蕾舞團一組伺服器的運作軟件已過時,黑客利用漏洞進入網絡並放置勒索軟件,加密並竊取系統內的資料及檔案。公署指,相關伺服器的運作軟件過時,並存在多項嚴重的遠端程式碼執行漏洞,芭蕾舞團也無保安修補或更新伺服器的政策或程序,突顯其存在明顯缺失。

私隱專員鍾麗玲提醒機構,面對與日俱增的網絡安全威脅,不論機構大小,都不宜掉以輕心,應加強網絡保安及數據安全以抵禦惡意攻擊,從而保障所持有的個人資料。

香港資訊科技商會榮譽會長方保僑表示,涉事兩機構犯上的「低級錯誤」,存在於許多不同公司。不少機構常覺得有防火牆「有如家中有把鎖,10年都不用換」,惟黑客現時專門針對防火牆漏洞,籲機構加強資訊保安。
議員倡設配對基金助增網絡保安

工業界(第二)立法會議員吳永嘉認為,從公共財政上,要政府全數資助中小企升級防毒軟件不切實際,建議當局透過配對基金模式,為中小企升級資訊保安提供誘因。吳永嘉解釋,中小企在網絡安全面對兩難,因黑客以進行大規模勒索來分攤成本,可投入大量資源提升入侵技術,惟現時外圍經濟環境和本港零售環境一般,中小企收入下降,可用於維護資訊安全的資源有限。

香港中小企協會創會會長佘繼泉指出,現時資訊科技人才短缺,月薪上升至5萬元,對中小企是不少的負擔,建議政府為中小企提供資訊保安諮詢服務。

關鍵字

最新回應

相關新聞

You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad