數碼港電腦系統去年遭黑客攻擊,導致1.3萬名員工個人資料外洩。個人資料私隱專員公署今早(2日)召開記者會發表調查報告,認為數碼港涉及五大缺失,包括資訊系統無法有效偵測黑客入侵、沒有為遠端存取資料啟用多重認證、對資訊系統的保安審計不足,資訊保安政策欠具體以及不必要地保留個人資料。
公署指出,數碼港資訊系統欠缺有效偵測措施,導致未能有效偵測黑客以暴力攻擊資訊系統,令黑客能成功獲取具管理員權限的帳戶憑證,並進行勒索軟件攻擊和竊取儲存系統內的個人資料。
同時,數碼港亦沒有為遠端存取資料啟用多重認證功能,以核實獲授權可遠端登入數碼港網絡的用戶身份,導致黑客能利用獲取的帳戶,憑證透過遠端桌面連接進入數碼港的網絡,竊取個人資料。另外,資訊系統進行的保安審計不足,未能適時應對資訊科技變化和網絡安全風險等原因,造成是次外洩。
私隱專員鍾麗玲表示,數碼港於事故中外洩的逾1.3萬人的個人資料中,有四成屬求職者及已離職的僱員。而數碼港是一間具規模的機構,恒常持有並處理大量不同人士的個人資料,持分者和公眾會合理期望數碼港投入足夠資源,確保系統和數據安全,因此應採取足夠保安措施。
但數碼港並未有採取所有切實可行步驟,確保涉事個人資料受保障和不受未獲准許或意外的查閱和處理,以及確保個人資料的保存時間不超過使用該資料實際所需的時間,部份資料更由2016年保留至今,違反個人資料保留的規定,公署已向數碼港送達執行通知,指示數碼港在兩個月內糾正。同時,公署亦建議公司設立個人資料私隱管理系統,並委任保障資料主任,適時對系統進行風險評估,並適時刪除個人資料,防止類似違規再次發生。
數碼港:已加強有關個人資料管理措施
數碼港今日(2日)表示,就早前遭受網絡攻擊事件,專責小組已完成有關工作並向董事會匯報,數碼港亦已向私隱專員公署提交調查報告。
數碼港指,在事件發生後隨即成立專責小組嚴肅跟進,包括迅速提升防範黑客攻擊的能力,採取多項措施包括鞏固網絡防護屏障,強化偵測網絡攻擊及入侵的能力,並成功堵截後續網絡攻擊;委託專業第三方定期進行網絡安全監測及道德黑客入侵測試;以及增加監察網絡安全的工具等,提升網絡安全保護能力。
數碼港亦積極聯繫及支援受影響人士,包括為受影響人士提供免費信貸監察服務及暗網身份監察服務。在涉事黑客的暗網瓦解後,有關監察服務仍然維持生效。
數碼港稱,已加強多項措施,持續提升各個營運層面的資訊系統保安及數據安全的水平和意識。數碼港亦已經審視並加強有關個人資料管理的措施,以確保完全符合《個人資料(私隱)條例》訂明的個人資料保障原則。
去年8月遭黑客入侵
數碼港去年8月遭黑客組織Trigona入侵,被黑客盜取約400GB資料及勒索30萬美元的贖金,數碼港拒絕交贖金後,資料在「暗網」被公開,當中包括數碼港公司的董事局會議資料、合作公司資料和招標及合約文件,以及員工個人資料。@
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
