User Icon

 /  ENG

單元11 , 主題3:互聯相依的當代世界 , 單元1.1 , 單元1.1

系統無多重認證 單一反惡意軟件 資料逾期未刪 數碼港5缺失 泄私隱裁違例

03-04-2024

圖為在數碼港工作的人昨日下班。數碼港表示會按時完成私隱署的執行通知,並為已知和潛在受影響者提供免費信貸監察及暗網身分監察服務,而在涉事黑客暗網瓦解後,相關服務仍維持。(楊柏賢攝)

私隱專員鍾麗玲昨講述去年數碼港資料外泄事故,指調查顯示,數碼港在事前未有採取足夠及有效措施,保障資訊系統安全,亦未有及時根據資料保留政策,刪除已屆保存期限的資料,裁定違反《私隱條例》資料保安及保留規定,要求公司下月28日前完成執行通知的指示。(賴俊傑攝)

【明報專訊】數碼港去年發生資料外泄事故,個人資料私隱專員公署昨日發表調查報告,指事故有13,632人受影響,近四成屬個人資料被保留超過應有期限,惟數碼港未能解釋。公署批評數碼港有5項缺失,包括未為遠端存取資料啟用多重認證功能,裁定數碼港違反《私隱條例》資料保安及保留規定,並向數碼港發出執行通知,要求兩個月內糾正違反事項。香港資訊科技商會榮譽會長方保僑稱,網絡安全與帳戶保障同樣重要,若缺乏多重認證功能等保障,黑客便能掌握管理員帳戶,繼而關閉反惡意軟件及竊取資料,導致「火燒連環船」。

數碼港:小組加強防黑客 屆期資料已刪

數碼港早前公布人事變動,今日起由鄭松岩出任行政總裁,接替約滿離任的任景信。數碼港昨回覆稱,事故後已成立專責小組,包括提升防範黑客攻擊能力等,另會與私隱公署跟進後續工作,按時完成執行通知。數碼港表示已刪除所有已屆一年保留期限的求職者個人資料,以及已屆7年保留期限的離職僱員個人資料;各部門會定時檢視管有的資料,確保按保留政策適時刪除。

私隱署發執行通知 限兩月糾正

私隱專員公署昨表示,去年8月黑客透過「暴力攻擊」取得具管理權限的帳戶進入數碼港網絡,其後停止系統內唯一用作偵測異常活動的反惡意軟件,並兩度對伺服器檔案作勒索軟件攻擊及惡意加密,而第一次攻擊後,數碼港曾更改所有帳戶密碼,但未阻第二次攻擊。私隱專員鍾麗玲解釋,「暴力攻擊」是指黑客利用電腦程式生成密碼撞破帳戶,而最有效的防禦是啟用多重認證功能,即以第二重密碼防止入侵,惟數碼港未為遠端存取資料啟用相關功能,導致黑客可放置勒索軟件並竊取系統中的個人資料。

1.3萬人受影響 專員:刪逾期資料可大減

在逾1.3萬受影響者中,有8000人與僱傭有關。公署引述調查期間,數碼港提到按保留資料政策會保留求職者資料一年,而僱員資料只會在受僱期間保留;惟數碼港無根據政策,在保留期屆滿後刪除相關資料,涉5292名求職者及離職僱員,部分資料更自2016年一直保留。鍾相信,若數碼港當初根據政策刪除已到保留期限的資料,受影響人數會大減。她說目前共接獲65宗查詢及33宗投訴。

公署引述數碼港委聘的網絡安全專家調查報告,指多個伺服器及網絡儲存裝置被入侵,涉及13個Windows系統及兩台虛擬伺服器。公署調查顯示,數碼港事前無規定對其中一個受事件影響的系統,在啟用前做風險評估或獨立保安審計,屬明顯缺失。

專家:採逾一款反惡意軟件 需衡量系統速度

方保僑認為,一般機構均會對具權限的管理員帳戶採取保安措施,舉例若嘗試登入達一定次數,系統會阻止短期再次登入,並以應用程式等警告用戶,避免黑客短時期內「暴力攻擊」;另舉例有機構會採用限時動態密碼,以保障伺服器安全。

至於公署批評數碼港僅依賴一款反惡意軟件偵測異常活動屬「明顯不足及不成比例」,方保僑稱坊間不少機構均使用多於一款反惡意軟件,惟採用多於一款時,或會拖慢系統速度,故採用反惡意軟件數量視乎如何衡量兩者。

警方回覆稱,去年8月接獲數碼港報案,案件列作「有犯罪或不誠實意圖而取用電腦」,由網罪科跟進,暫無人被捕。

立法會資訊科技及廣播事務委員會主席葛珮帆稱,事故涉及大量個人和企業數據及敏感資料被盜,相關公司亦被勒索,情况不能接受,建議公私營機構均應增強網絡安全意識。

■明報報料熱線﹕inews@mingpao.com / 9181 4676