數碼港電腦系統早前遭黑客組織Trigona入侵,盜取400GB的身份證及銀行資料等。個人資料私隱專員公署今日(4月2日)公布數碼港資料外洩事故的調查報告,發現逾1.3萬名員工和求職者的個人資料洩漏,包括超過5000名求職者的個人資料,部份超過法例容許的保留期限;涉及的個人資料包括姓名、身份證號碼、身份證的副本、護照號碼,亦有部分人士的財務資料,例如銀行帳戶號碼 、醫療報告、照片、僱傭資料等。
私隱專員鍾麗玲表示,該事件是5項缺失導致,包括資訊系統欠缺有效的偵測措施、未有為遠端存取資料啟用多重認證功能、對資訊系統進行的保安審計不足、資訊保安政策有欠具體,以及個人資料被不必要地保留。
未及時刪走已到期資料
私隱專員公署公布數碼港資料外洩事故調查報告,指數碼港未有採取足夠和有效措施,保障資訊系統安全,也未有及時根據保留資料政策,刪除已屆保存期限的資料。公署認為,數碼港未有採取切實可行步驟,確保涉事個人資料受保障和不受未獲准許或意外的查閱和處理等,以及確保資料保存時間,不超過使用資料實際所需時間,違反相關規定。
公署指,數碼港資訊系統欠缺有效偵測措施,導致未能有效偵測黑客以暴力攻擊資訊系統,令黑客能成功獲取具管理員權限的帳戶憑證,並進行勒索軟件攻擊和竊取儲存系統內的個人資料。
公署表示,數碼港沒有為遠端存取資料啟用多重認證功能、核實獲授權可遠端登入數碼港網絡的用户身分;又指對資訊系統進行的保安審計不足,未能適時應對資訊科技變化和網絡安全風險。
公署促建立個人資料私隱管理系統
鍾麗玲表示,數碼港是一間具規模的機構,恆常持有並處理大量不同人士的個人資料,持分者和公眾會合理期望數碼港投入足夠資源,確保系統和數據安全,因此應採取足夠保安措施。私隱專員已向數碼港送達執行通知,指示兩個月內糾正違反事項,又建議公司設立個人資料私隱管理系統,並委任保障資料主任,適時對系統進行風險評估,及適時刪除個人資料,防止類似違規再次發生。
早前數碼港向私隱專員公署通報資料外洩事故,表示其電腦系統及檔案伺服器遭受到勒索軟件攻擊及惡意加密。自稱 Trigona 的黑客組織要求數碼港支付贖金,為已被加密的檔案解鎖。事件導致超過13,000名資料當事人的個人資料外洩,當中約4成受影響人士為求職者及已離職僱員。
數碼港:內部資訊保安有改善空間
數碼港在記者會前發新聞稿,指董事局早前成立的專責小組,已經完成工作並向董事會作匯報,而數碼港亦已向私隱專員公署提交調查報告。數碼港指,專責小組調查發現,數碼港在內部資訊保安及數據管理方面存在改善空間,已加強多項措施,提升各個營運層面的資訊系統保安及數據安全的水平和意識。專責小組主席伍志強指,事件發生以來,專責小組與管理層致力支援受影響人士,盡力減低潛在影響,並全面配合有關部門與私隱專員公署的調查。
自事件發生以來,數碼港董事局的專責小組與管理層一直緊密跟進創新科技及工業局指示的工作方向,進一步提升防範黑客再次攻擊的能力、聯繫及支援受影響人士以盡力減低潛在影響,以及配合有關部門的調查,並確保相關改善措施有效落實。
---
《星島申訴王》推出全新項目「區區有申訴」,並增設「我要讚佢」欄目,現誠邀市民投稿讚揚身邊好人好事,共建更有愛社區。立即「我要讚佢」︰https://bit.ly/3uJ3yyF
《星島頭條》APP經已推出最新版本,請立即更新,瀏覽更精彩內容:https://bit.ly/3yLrgYZ