國泰航空940萬名客戶個人資料外洩,事隔7個月才正式公佈事件,引起外界對網絡保安關注。有立法會議員建議,港府應立例強制企業或機構通報資料外洩事件。

資訊科技界立法會議員莫乃光昨在《城市論壇》表示,近年公營部門如醫院管理局,發現有病人資料外洩,多會自願通報事件。他會要求政府修改過時私隱條例,強制通報資料外洩事件。又認為歐盟72小時通報期限合理,可否增加一兩日有待社會討論,但認為有關期限不應超過7日。

有指事件可能或與國泰近年裁減資訊科技部員工有關,莫乃光說,雖然很難證實直接關係,但是認為兩者很大機會有關。他強調做好事前風險管理,投放資源在資訊科技保安人員,遠比「事後補鑊」重要,因客戶資料被盜是永遠無法取回的。他又指國泰外判大量工作,反映國泰不重視資訊科技的投資,「國泰過去一兩年連資訊科技的主管都不存在,在一間國際大公司而言是匪夷所思。」

對於國泰聲稱沒有客戶財務資料被盜,雲安全聯盟香港澳門分會會長林志堅指,國泰單方面提供的資料並不清晰,是涉及黑客攻擊盜取資料,或只是員工大意遺失。如屬針對性盜取大量資料,相信不法之徒取得個人資料後多會用作犯案,如以電郵、電話欺詐等,故不排除會日後有市民被不法之徒詐騙。

生產力促進局電腦保安事故協調中心負責人黃家偉指,今次外洩資料頗多,提醒市民要提防不法份子的「釣魚」電郵或電話,即使對方能說出身份證或護照號碼亦不要輕易盡信。他又指國泰雖向受影響客戶提供一年免費身份監察服務,但市民需將個人資料交給服務供應商,變相要承受多一個資料外洩風險。◇