個人資料私隱專員公署昨日公布早前數碼港資料外洩事故的調查報告,指事故源於五項缺失,批評數碼港未有採取足夠和有效措施,保障資訊系統安全,要求兩個月內糾正。立法會議員兼立法會資訊科技及廣播事務委員會主席葛珮帆認為事件非常嚴重,政府必須嚴肅對待問題,加強檢視網絡安全措施。
葛珮帆今(3日)在電台節目表示,事件中有大量個人和企業數據及敏感資料被盗並被勒索,當中很多涉及人為因素,反映數碼港輕視個人資料處理問題,管理失當,保安對保管資料認識不足,情況是不能接受。
她認為,今次事件只是冰山一角。無論公私營機構,都應該增強網絡安全意識,政府必須嚴肅對待問題,加強檢視網絡安全措施,及審視各政府部門及本地關鍵基礎設施的的網絡安全隱患。
相關新聞:數碼港資料外洩|涉逾1.3萬名員工和求職者 私隱公署批5大缺失 促兩個月內糾正違例事項
促盡快檢視《私隱條例》加強罰則
葛珮帆建議政府各部門及本地關鍵基礎設施機構,應採納網絡防護紅隊演練(Red Team Exercise)措施,找一些道德黑客,測試網絡漏洞,該演練還能有效驗證防守方(藍隊)的偵測與應變能力。她又促請當局盡快檢視《私隱條例》,加強罰則,並訂立網絡安全法。
葛珮帆又指,數碼港資訊保安系統無做多重認證,令黑客打通所有通道,屬很低級保安錯誤,不應該發生。受害人個人資料包括身份證、銀行戶口等已被公開,黑客可做很多犯法行為,會令受害人會感到惶恐,認為數碼港只提供一年的暗網身份監察不足夠,建議延長,並考慮為受害人提供心理輔導。
電腦安全研究員:數碼港應定期審計及測試網絡審計及測試
電腦安全研究員賴灼東在同一節目上表示,黑客在事件中成功獲取具管理員權限的帳戶繼而關掉反惡意軟件,直指若能使用雙重認證可避免有關事件。因為如未有設定雙重密碼,基本上若有人竊取管理人密碼後,可以橫掃整個網絡,遠端存取資料,甚至進入重要系統。他指雙重認證已是10年前的技術,現時技術已十分成熟。
被問到執行保安審計的時間,賴灼東指一些涉及個人資料的公司,每半年至一年執行一次保安審計,指數碼港19個月才做一次「太耐」。他指未必能一次過完成,可分階段對伺服器、遠端存取,電郵系統等,採用「紅隊」和「藍隊」模式,模擬網絡攻擊和防衛,偵測資訊保安系統防守能力,試驗防衛工具是否牢固。
他認為,事件導致超過13,000名資料當事人的個人資料外洩,更應該加強保安,以資料保密性嚴重程度,而決定審計及測試次數,而非當交功課就算,建議數碼港做好準備,因為黑客可能會作第二次或第三次攻撃。
他又稱,數碼港對受害人提出的補救措施是應份要做,對他而言「完全無驚喜」,而數碼港作為具標誌性機構,應考慮向受害人作出賠償或調解,否則會影響形象。
數碼港電腦系統早前遭黑客組織Trigona入侵,盜取400GB的身份證及銀行資料等。事件導致超過13,000名資料當事人的個人資料外洩,當中約4成受影響人士為求職者及已離職僱員。私隱專員鍾麗玲昨日表示,該事件是5項缺失導致。
---
《星島申訴王》推出全新項目「區區有申訴」,並增設「我要讚佢」欄目,現誠邀市民投稿讚揚身邊好人好事,共建更有愛社區。立即「我要讚佢」︰ https://bit.ly/3uJ3yyF
《星島頭條》APP經已推出最新版本,請立即更新,瀏覽更精彩內容:https://bit.ly/3yLrgYZ
