修例赋权增罚则 保障私隐非口讲须有阻吓力
2024-04-03 00:00 
数码港疏忽频犯低级错误
公署调查指,黑客去年成功通过「暴力攻击」,即以程式「撞密码」形式攻击,先后取得四个具有管理员权限的帐户,进入数码港的网络,成功关闭系统反恶意软件的功能,再加密资料进行勒索,有逾1.3万名员工和求职人士的个人资料外泄,而事故源于5项缺失,包括资讯系统欠缺有效侦测措施、未有为远端存取资料启用多重认证功能、对资讯系统进行的保安审计不足、资讯保安政策有欠具体,以及个人资料被不必要地保留。
数码港作为本港最具规模的创科重镇,逾百间资讯科技公司云集,理应在网络系统方面是最尖端和最安全的,却竟然犯了最低级错误,相信主因是人为疏忽所致,实在叫人感到惊讶和无法接受。首先,没做好网络防御工作。任何一间具规模的企业均不会只倚赖一款反恶意软件,也不会容许黑客以「撞密码」程式解锁帐户,以网上银行为例,若连续3次输入错误密码,便会即时冻结帐户,客户须亲身到银行办理解锁程序。可是,数码港却偏偏只安装一款反恶意软件,而且竟然让黑客接连以「撞密码」程式取得四个具有管理员权限的帐户,也没有对远端存取资料采用双重认证技术以核实用户身份,明显是做得非常不到位。
数码港也缺乏安全意识,每两年才为资讯系统做风险评估和保安审计。在当前黑客肆虐,不时会攻击不同政府机构或私人企业网站,试图找出弱点,因此机构和企业有必要加密检视资讯系统安全的频率,才有机会在恒常检视中发现系统保安是否有纰漏,并尽快作出修补,让黑客难以得逞。
此外,数码港明显违反政策规定,在没有合理解释下长期保留个人资料。按照规定,求职者资料只保存一年,雇员资料在离职时便会删除,可是在今次事件有近5300名求职者和离职人士因数码港逾期保存其个人资料而受影响,当中最离谱的是2016年求职者的资料却迟迟未删除。
尽管公署裁定数码港违反《私隐条例》,唯一可做的是发出执行通知,要求其彻底检视资讯系统安全及保安措施、实施遥距使用者多重身份认证、销毁所有逾期保留资料,皆因条例规定除非机构没有依法执行通知,才属刑事罪行,届时公署才有权开罚单,而罚款最高仅5万元和监禁两年。正是这个缘故,公署一直被讥为无牙老虎,个人资料私隐专员锺丽玲亦借今次事件,旧事重提,要求政府尽快修例,引入行政罚款机制。
宜效欧盟引入行政罚款机制
现行条例的确有很多不足之处,法例没强制要求机构通报资料外泄,只要求遵从自愿通报原则;法例表面上有罚则,但极难执行,而且罚则过轻,令很多机构没有重视保障网络数据安全工作。反观其他地区在保障私隐的罚则较重,例如欧盟对保障私隐不力的企业,轻则罚款1000万欧罗或上年度环球营业额的2%,情节严重则罚款2000万欧罗或上年度营业额的4%,以较高者为准,令企业和机构重视保障个人资料。
随着网络攻击日益频繁,港府和企业应吸取今次数码港事件的教训,做好网络保安之馀,更应重视公署的诉求,尽快修例,加重罚则,并赋权公署按情节严重性向违规机构开罚单,令公署成为有牙老虎,机构也提高保护网络安全的积极性。
關鍵字
最新回应