私隱公署裁定 兩機構違私隱例

中小企及非牟利組織資源有限，網絡安全響起警號。香港桂冠論壇委員會及香港芭蕾舞團去年先後發生資料外洩事故，個人資料私隱專員公署昨公布相關調查結果，裁定兩機構違反《個人資料（私隱）條例》有關個人資料保安的規定。私隱專員已送達執行通知，指示其採取措施糾正違規事項，並防止類似違規情況再次發生。有專家指，不少中小型機構資訊保安意識薄弱，未定期更新軟硬件，建議機構加密存有客戶資料的資料庫，「至少黑客偷走後要解密。」
桂冠論壇於去年9月向私隱專員公署通報資料外洩事故，指電腦系統及檔案伺服器遭勒索軟件攻擊。調查確定有8122人受事件影響，包括電子通訊訂閱戶、青年科學家申請人、邵逸夫獎得獎者、本地科學家及講者等。懷疑外洩個人資料包括姓名、地址、電郵地址、電話號碼、護照資料、銀行戶口、信用卡資料等。
已發執行通知促採措施糾正

公署調查顯示，黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶憑證，進入伺服器放置勒索軟件，再加密及作破壞。公署指，桂冠論壇的資訊系統管理欠妥善，防火牆韌體過時並存在多項嚴重漏洞，防毒軟件的病毒資料庫自2019年起不曾更新。機構也欠缺適當的數據備份方案，未將原始數據及備份數據存放於不同網絡，導致備份數據在外洩事件中遭黑客毁壞，無法進行數據復原。

芭蕾舞團方面，公署於去年10月接獲其資料外洩事故通報，指遭勒索軟件攻擊，導致其資訊系統的4組實體伺服器受影響。調查發現，由於芭蕾舞團無法確實受影響檔案內的資料，估計或有37840人受影響，包括僱員、門票訂購者、客席藝術家、捐款者等。涉及的個人資料包括身份證號碼、護照號碼、相片、銀行戶口號碼、僱傭資料及學歷資料等。

調查顯示，由於當時芭蕾舞團一組伺服器的運作軟件已過時，黑客利用漏洞進入網絡並放置勒索軟件，加密並竊取系統內的資料及檔案。公署指，相關伺服器的運作軟件過時，並存在多項嚴重的遠端程式碼執行漏洞，芭蕾舞團也無保安修補或更新伺服器的政策或程序，突顯其存在明顯缺失。

私隱專員鍾麗玲提醒機構，面對與日俱增的網絡安全威脅，不論機構大小，都不宜掉以輕心，應加強網絡保安及數據安全以抵禦惡意攻擊，從而保障所持有的個人資料。

香港資訊科技商會榮譽會長方保僑表示，涉事兩機構犯上的「低級錯誤」，存在於許多不同公司。不少機構常覺得有防火牆「有如家中有把鎖，10年都不用換」，惟黑客現時專門針對防火牆漏洞，籲機構加強資訊保安。
議員倡設配對基金助增網絡保安

工業界（第二）立法會議員吳永嘉認為，從公共財政上，要政府全數資助中小企升級防毒軟件不切實際，建議當局透過配對基金模式，為中小企升級資訊保安提供誘因。吳永嘉解釋，中小企在網絡安全面對兩難，因黑客以進行大規模勒索來分攤成本，可投入大量資源提升入侵技術，惟現時外圍經濟環境和本港零售環境一般，中小企收入下降，可用於維護資訊安全的資源有限。

香港中小企協會創會會長佘繼泉指出，現時資訊科技人才短缺，月薪上升至5萬元，對中小企是不少的負擔，建議政府為中小企提供資訊保安諮詢服務。