私隐公署裁定 两机构违私隐例

2024-08-09 00:00

私隐专员公署发表两宗资料外泄事故的调查结果。图中为私隐专员锺丽玲。
私隐专员公署发表两宗资料外泄事故的调查结果。图中为私隐专员锺丽玲。

中小企及非牟利组织资源有限,网络安全响起警号。香港桂冠论坛委员会及香港芭蕾舞团去年先后发生资料外泄事故,个人资料私隐专员公署昨公布相关调查结果,裁定两机构违反《个人资料(私隐)条例》有关个人资料保安的规定。私隐专员已送达执行通知,指示其采取措施纠正违规事项,并防止类似违规情况再次发生。有专家指,不少中小型机构资讯保安意识薄弱,未定期更新软硬件,建议机构加密存有客户资料的资料库,「至少黑客偷走后要解密。」
桂冠论坛于去年9月向私隐专员公署通报资料外泄事故,指电脑系统及档案伺服器遭勒索软件攻击。调查确定有8122人受事件影响,包括电子通讯订阅户、青年科学家申请人、邵逸夫奖得奖者、本地科学家及讲者等。怀疑外泄个人资料包括姓名、地址、电邮地址、电话号码、护照资料、银行户口、信用卡资料等。
已发执行通知促采措施纠正

公署调查显示,黑客透过暴力攻击取得桂冠论坛一个具系统管理员权限的帐户凭证,进入伺服器放置勒索软件,再加密及作破坏。公署指,桂冠论坛的资讯系统管理欠妥善,防火墙韧体过时并存在多项严重漏洞,防毒软件的病毒资料库自2019年起不曾更新。机构也欠缺适当的数据备份方案,未将原始数据及备份数据存放于不同网络,导致备份数据在外泄事件中遭黑客毁坏,无法进行数据复原。

芭蕾舞团方面,公署于去年10月接获其资料外泄事故通报,指遭勒索软件攻击,导致其资讯系统的4组实体伺服器受影响。调查发现,由于芭蕾舞团无法确实受影响档案内的资料,估计或有37840人受影响,包括雇员、门票订购者、客席艺术家、捐款者等。涉及的个人资料包括身份证号码、护照号码、相片、银行户口号码、雇佣资料及学历资料等。

调查显示,由于当时芭蕾舞团一组伺服器的运作软件已过时,黑客利用漏洞进入网络并放置勒索软件,加密并窃取系统内的资料及档案。公署指,相关伺服器的运作软件过时,并存在多项严重的远端程式码执行漏洞,芭蕾舞团也无保安修补或更新伺服器的政策或程序,突显其存在明显缺失。

私隐专员锺丽玲提醒机构,面对与日俱增的网络安全威胁,不论机构大小,都不宜掉以轻心,应加强网络保安及数据安全以抵御恶意攻击,从而保障所持有的个人资料。

香港资讯科技商会荣誉会长方保侨表示,涉事两机构犯上的「低级错误」,存在于许多不同公司。不少机构常觉得有防火墙「有如家中有把锁,10年都不用换」,惟黑客现时专门针对防火墙漏洞,吁机构加强资讯保安。
议员倡设配对基金助增网络保安

工业界(第二)立法会议员吴永嘉认为,从公共财政上,要政府全数资助中小企升级防毒软件不切实际,建议当局透过配对基金模式,为中小企升级资讯保安提供诱因。吴永嘉解释,中小企在网络安全面对两难,因黑客以进行大规模勒索来分摊成本,可投入大量资源提升入侵技术,惟现时外围经济环境和本港零售环境一般,中小企收入下降,可用于维护资讯安全的资源有限。

香港中小企协会创会会长佘继泉指出,现时资讯科技人才短缺,月薪上升至5万元,对中小企是不少的负担,建议政府为中小企提供资讯保安谘询服务。

關鍵字

最新回应

相關新聞

You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad