数码港资料外泄|葛佩帆促政府加强检视网络安全 倡设网络防护红队演练
2024-04-03 09:33
个人资料私隐专员公署昨日公布早前数码港资料外泄事故的调查报告,指事故源于五项缺失,批评数码港未有采取足够和有效措施,保障资讯系统安全,要求两个月内纠正。立法会议员兼立法会资讯科技及广播事务委员会主席葛佩帆认为事件非常严重,政府必须严肃对待问题,加强检视网络安全措施。
葛佩帆今(3日)在电台节目表示,事件中有大量个人和企业数据及敏感资料被盗并被勒索,当中很多涉及人为因素,反映数码港轻视个人资料处理问题,管理失当,保安对保管资料认识不足,情况是不能接受。
她认为,今次事件只是冰山一角。无论公私营机构,都应该增强网络安全意识,政府必须严肃对待问题,加强检视网络安全措施,及审视各政府部门及本地关键基础设施的的网络安全隐患。
相关新闻:数码港资料外泄|涉逾1.3万名员工和求职者 私隐公署批5大缺失 促两个月内纠正违例事项
促尽快检视《私隐条例》加强罚则
葛佩帆建议政府各部门及本地关键基础设施机构,应采纳网络防护红队演练(Red Team Exercise)措施,找一些道德黑客,测试网络漏洞,该演练还能有效验证防守方(蓝队)的侦测与应变能力。她又促请当局尽快检视《私隐条例》,加强罚则,并订立网络安全法。
葛佩帆又指,数码港资讯保安系统无做多重认证,令黑客打通所有通道,属很低级保安错误,不应该发生。受害人个人资料包括身份证、银行户口等已被公开,黑客可做很多犯法行为,会令受害人会感到惶恐,认为数码港只提供一年的暗网身份监察不足够,建议延长,并考虑为受害人提供心理辅导。
电脑安全研究员:数码港应定期审计及测试网络审计及测试
电脑安全研究员赖灼东在同一节目上表示,黑客在事件中成功获取具管理员权限的帐户继而关掉反恶意软件,直指若能使用双重认证可避免有关事件。因为如未有设定双重密码,基本上若有人窃取管理人密码后,可以横扫整个网络,远端存取资料,甚至进入重要系统。他指双重认证已是10年前的技术,现时技术已十分成熟。
被问到执行保安审计的时间,赖灼东指一些涉及个人资料的公司,每半年至一年执行一次保安审计,指数码港19个月才做一次「太耐」。他指未必能一次过完成,可分阶段对伺服器、远端存取,电邮系统等,采用「红队」和「蓝队」模式,模拟网络攻击和防卫,侦测资讯保安系统防守能力,试验防卫工具是否牢固。
他认为,事件导致超过13,000名资料当事人的个人资料外泄,更应该加强保安,以资料保密性严重程度,而决定审计及测试次数,而非当交功课就算,建议数码港做好准备,因为黑客可能会作第二次或第三次攻撃。
他又称,数码港对受害人提出的补救措施是应份要做,对他而言「完全无惊喜」,而数码港作为具标志性机构,应考虑向受害人作出赔偿或调解,否则会影响形象。
数码港电脑系统早前遭黑客组织Trigona入侵,盗取400GB的身份证及银行资料等。事件导致超过13,000名资料当事人的个人资料外泄,当中约4成受影响人士为求职者及已离职雇员。私隐专员锺丽玲昨日表示,该事件是5项缺失导致。
---
《星岛申诉王》推出全新项目「区区有申诉」,并增设「我要赞佢」栏目,现诚邀市民投稿赞扬身边好人好事,共建更有爱社区。立即「我要赞佢」︰ https://bit.ly/3uJ3yyF
《星岛头条》APP经已推出最新版本,请立即更新,浏览更精彩内容:https://bit.ly/3yLrgYZ
最新回应