左图:私隐专员公署公布数码港去年8月资料外洩事故的调查报告,指事件涉及资讯系统的五大缺失。右图:数码港1.3万名职员及求职者的个人资料于去年外洩。

  数码港去年八月遭黑客组织Trigona入侵,逾1.3万人、共超过400GB个人资料外洩,当中约四成为求职者及已离职雇员。私隐专员公署昨日公布数码港资料外洩事故的调查报告,裁定事件违反《私隐条例》,指示数码港两个月内纠正。

  私隐专员钟丽玲指出,事故由五项缺失导致,包括资讯系统欠缺有效侦测措施,只依赖一款反恶意软件令黑客成功获取具管理员权限账户凭证,并进行勒索软件攻击及窃取储存个人资料;对资讯系统进行的保安审计不足,每两年才做一次;个人资料被不必要地逾期保留等。\大公报记者 古倬勳、叶浩源

  八年前资料至今未销毁

  私隐专员公署公布数码港去年8月资料外洩事故的调查报告,发现逾1.3万名员工和求职者的个人资料洩漏,包括逾5000名求职者的个人资料,部分超过法例容许的保留期限,有最早2016年保存至今的应销毁但未销毁资料,涉及的个人资料包括姓名、身份证号码及副本、护照号码,亦有部分人士的财务资料,例如银行户口号码、医疗报告、照片、僱佣资料等。据了解,在“暗网”遭黑客外洩的资料包括数码港行政总裁任景信、首席营运官郑希颖、首席公众使命官陈思源、首席投资官陈觉忠、项目总监余达彰,共五名高层的身份证号码、薪金、银行账户号码、住址及电话号码等个人资料。

  私隐专员钟丽玲指出,事故由五项缺失导致,包括资讯系统欠缺有效侦测措施,只依赖一款反恶意软件令黑客成功获取具管理员权限账户凭证,并进行勒索软件攻击及窃取储存个人资料;亦无为远端存取资料启用多重认证功能,核实获授权可远端登入数码港网络的用户身份;亦对资讯系统进行的保安审计不足,每两年才做一次,事发前审计已于2021年底进行,相隔逾19个月,未能适时应对资讯科技变化和网络安全风险。除此之外,数码港资讯保安政策有欠具体,未能让员工有具体网络保安框架可依循;个人资料亦被不必要地保留,公署曾就逾期保留资料向数码港查问原因,但数码港未能解释。

  数码港:定期检视保安措施

  钟丽玲认为,数码港是一间具规模的机构,恒常持有并处理大量不同人士的个人资料,持份者和公众会合理期望数码港投入足够资源确保系统和数据安全,因此应采取足够保安措施。私隐专员已在上月26日向数码港送达执行通知,指示两个月内,即5月26日前纠正违反事项,之后向公署提交证据,又指如果再次违规将是刑事罪行。她又建议公司设立个人资料私隐管理系统,并委任保障资料主任,适时对系统进行风险评估,及适时删除个人资料,防止类似违规再次发生。

  数码港回应私隐专员公署调查报告表示,董事局早前已就事件成立专责小组完成督导调查及跟进,包括巩固网络防护屏障,强化侦测网络攻击及入侵的能力,并成功堵截后续网络攻击,亦委托第三方定期监测网络安全及道德黑客入侵测试,以及增加监察网络安全的工具等。专责小组的调查发现,数码港在内部资讯保安及数据管理方面存在改善空间,数码港已加强多项措施,持续提升各个营运层面的资讯系统保安及数据安全水平和意识;同时已审视并加强有关个人资料管理的措施,以确保完全符合《个人资料(私隐)条例》订明的个人资料保障原则。

  数码港董事、网络安全事件专责小组主席伍志强表示,自事件发生以来,专责小组与管理层积极审视及即时跟进,快速增强网络及数据防护屏障,有效防范后续的网络入侵攻击,并致力支援受影响人士,尽力减低潜在影响,以及全面配合有关部门与私隐专员公署的调查。数码港亦会加强内部审查,定期检视执行资讯保安措施的情况,并向董事局辖下的审计委员会汇报,提升相关管治水平。

點讚(0) 打賞

评论列表 共有 0 條評論

暫無評論

微信小程序

微信扫一扫體驗

立即
投稿

微信公眾賬號

微信扫一扫加關注

發表
評論
返回
頂部