私隐公署裁定 两机构违私隐例

中小企及非牟利组织资源有限，网络安全响起警号。香港桂冠论坛委员会及香港芭蕾舞团去年先后发生资料外泄事故，个人资料私隐专员公署昨公布相关调查结果，裁定两机构违反《个人资料（私隐）条例》有关个人资料保安的规定。私隐专员已送达执行通知，指示其采取措施纠正违规事项，并防止类似违规情况再次发生。有专家指，不少中小型机构资讯保安意识薄弱，未定期更新软硬件，建议机构加密存有客户资料的资料库，「至少黑客偷走后要解密。」
桂冠论坛于去年9月向私隐专员公署通报资料外泄事故，指电脑系统及档案伺服器遭勒索软件攻击。调查确定有8122人受事件影响，包括电子通讯订阅户、青年科学家申请人、邵逸夫奖得奖者、本地科学家及讲者等。怀疑外泄个人资料包括姓名、地址、电邮地址、电话号码、护照资料、银行户口、信用卡资料等。
已发执行通知促采措施纠正

公署调查显示，黑客透过暴力攻击取得桂冠论坛一个具系统管理员权限的帐户凭证，进入伺服器放置勒索软件，再加密及作破坏。公署指，桂冠论坛的资讯系统管理欠妥善，防火墙韧体过时并存在多项严重漏洞，防毒软件的病毒资料库自2019年起不曾更新。机构也欠缺适当的数据备份方案，未将原始数据及备份数据存放于不同网络，导致备份数据在外泄事件中遭黑客毁坏，无法进行数据复原。

芭蕾舞团方面，公署于去年10月接获其资料外泄事故通报，指遭勒索软件攻击，导致其资讯系统的4组实体伺服器受影响。调查发现，由于芭蕾舞团无法确实受影响档案内的资料，估计或有37840人受影响，包括雇员、门票订购者、客席艺术家、捐款者等。涉及的个人资料包括身份证号码、护照号码、相片、银行户口号码、雇佣资料及学历资料等。

调查显示，由于当时芭蕾舞团一组伺服器的运作软件已过时，黑客利用漏洞进入网络并放置勒索软件，加密并窃取系统内的资料及档案。公署指，相关伺服器的运作软件过时，并存在多项严重的远端程式码执行漏洞，芭蕾舞团也无保安修补或更新伺服器的政策或程序，突显其存在明显缺失。

私隐专员锺丽玲提醒机构，面对与日俱增的网络安全威胁，不论机构大小，都不宜掉以轻心，应加强网络保安及数据安全以抵御恶意攻击，从而保障所持有的个人资料。

香港资讯科技商会荣誉会长方保侨表示，涉事两机构犯上的「低级错误」，存在于许多不同公司。不少机构常觉得有防火墙「有如家中有把锁，10年都不用换」，惟黑客现时专门针对防火墙漏洞，吁机构加强资讯保安。
议员倡设配对基金助增网络保安

工业界（第二）立法会议员吴永嘉认为，从公共财政上，要政府全数资助中小企升级防毒软件不切实际，建议当局透过配对基金模式，为中小企升级资讯保安提供诱因。吴永嘉解释，中小企在网络安全面对两难，因黑客以进行大规模勒索来分摊成本，可投入大量资源提升入侵技术，惟现时外围经济环境和本港零售环境一般，中小企收入下降，可用于维护资讯安全的资源有限。

香港中小企协会创会会长佘继泉指出，现时资讯科技人才短缺，月薪上升至5万元，对中小企是不少的负担，建议政府为中小企提供资讯保安谘询服务。