【中新社香港四月二日電】(記者 劉大煒)香港個人資料私隱專員公署(私隱公署)二日發表對香港數碼港管理有限公司(數碼港)資料外洩事故的調查報告。
數碼港於二0二三年八月中旬發現系統被黑客入侵,導致逾一點三萬名當事人的個人資料數據洩露,其中約四成為求職者或已離職僱員。相關資料超過400GB,包括相關人士的姓名、身份證號、護照號碼、銀行賬戶信息等。根據網絡安全專家的針對性調查,事故起因是黑客取得數碼港一個具管理員權限的賬戶憑證,通過遠端桌面連接進入內部網絡,隨後通過各種工俱進行網絡惡意活動,致使數碼港十三個Windows系統和兩台虛擬服務器被入侵。
私隱公署二日公佈的調查報告中指出,此次資料外洩事故主要由五方面缺失導致:其一,數碼港的資訊系統欠缺有效的偵測措施;其二,未啟用遠端存取資料多重認證功能,以核實獲授權可遠端登入數碼港網絡的用戶身份;其三,對資訊系統進行的保安審計不足,事發前最後一次審計距離資料外洩事故發生已超過十九個月,無法適時應對資訊科技的變化和網絡安全的風險;其四,資訊保安政策欠具體,未給員工提供可依循的、具體的網絡保安框架;其五,未根據其資料保留政策移除保留期屆滿的個人資料。
對此,個人資料私隱專員鍾麗玲表示,希望通過此份報告,向數碼港以及其他使用資訊和通訊科技處理個人資料的機構提出五項建議:應設立個人資料私隱管理系統並委任保障資料主任、建立穩健的網絡保安框架、適時對資訊系統進行風險評估和保安審計、建立重視資訊安全的企業文化、適時移除逾期保留的個人資料。
鍾麗玲表示,網絡攻擊是全球性問題。各機構必須提高網絡安全意識,及時升級網絡安全架構,維護網絡安全。
【又訊】香港數碼港電腦系統去年遭黑客入侵,大量個人資料遭外洩。私隱專員公署調查發現,有超過一點三萬名員工和求職者的個人資料洩漏,當中包括超過五千名求職者的個人資料,部份超過法例容許的保留期限。而涉及的個人資料包括姓名、身份證號碼、身份證的副本、護照號碼,亦有部份人士的財務資料,例如銀行帳戶號碼、醫療報告、照片、僱傭資料,亦有部份人的信用卡資料,私隱專員鍾麗玲形容,披露的個人資料範圍相當大。
公署調查並指出,數碼港無採取所有切實可行的步驟,確保涉事個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。鍾麗玲指,數碼港是具規模的機構,持有大量人士個人資料,公眾有合理期望,數碼港投入足夠資源在數據安全上,裁定數碼港違反《私隱條例》保障資料原則下,有關個人資料保安和保留的規定,向數碼港送達執行通知,指示數碼港在兩個月內糾正。◇