要聞港聞

5大缺失資料任睇 數碼港裁違私隱例

數碼港指已即時跟進有關問題,並會加強內部保安措施審查。 數碼港指已即時跟進有關問題,並會加強內部保安措施審查。
數碼港指已即時跟進有關問題,並會加強內部保安措施審查。
逾萬人受罪 揭求職個資7年未刪除
去年8月有黑客入侵數碼港電腦系統,盜取超過400GB數據,涉及1.3萬人的個人資料,包括姓名、身份證副本及聯絡資訊被盜,更有部分人的銀行帳號、醫療報告、薪資等亦遭外洩,當中四成的事主屬已離職或求職者。私隱專員公署昨日公布調查報告,指事件因數碼港5項缺失導致,裁定數碼港違反私隱條例規定,並發出執行通知。數碼港回應指已即時跟進有關問題,並會加強內部保安措施審查;而立法會議員葛珮帆亦建議,各部門及關鍵基礎設施機構應採納網絡防護演練措施,以防範網絡攻擊。
私隱專員鍾麗鈴指事件由數碼港5項缺失引致,包括系統欠缺有效偵測措施、遠端操作未設多重認證、保安審計不足、保安政策欠具體,以及不必要地保留他人的個人資料。鍾表示,數碼港僅依賴一款反惡意軟件,電腦系統使用前又未有作事前風險評估,加上按其內部規定,保安審計只有每兩年進行一次,事發前最後一次距離長達19個月,作為大機構網絡保安措施明顯不足。報告又指,規定中只有提到如「合適」﹑「定時」等含糊字眼,卻沒有再仔細釐清。而且因為數碼港超出保留時間後,未有刪除保存的個人資料,導致受影響人數大增,事件中有近5,300名人士為求職者或離職人士,其資料被逾期保存而遭黑客外洩。按數碼港規定,求職者資料只保存一年,僱員資料離職時便會刪除,不過有2016年的求職者個資。因被保存至事故期間而外洩,逾期近7年。
促5月底前糾正 議員倡演練
鍾續稱,數碼港作為一間具規模機構,恒常持有並處理大量不同人士的個人資料,持份者和公眾會合理期望數碼港會確保系統和數據,包括個人資料的安全;惟數碼港未有採取足夠措施保障系統安全,亦未有刪除超過保存期限的個人資料,裁定數碼港違規,並向其送達執行通知,要求5月底前糾正違規事項,防止類似事件再發生,包括設立個人資料私隱管理系統,並委任保障資料專家,適時對系統進行風險評估,及適時刪除個人資料,防止類似違規再次發生。而對於現時私隱條例被指權力不足屬「無牙老虎」,專員指署方正研究對違規機構增加行政罰款,望增阻嚇力。
數碼港就事件回應指已加強多項措施,提升各營運層面資訊系統保安及數據安全水平和意識;同時已審視並加強有關個人資料管理的措施,以確保符合個人資料保障原則。數碼港董事、網絡安全事件專責小組主席伍志強表示,已於事發後即時增強網絡及數據防護屏障,防範後續的網絡入侵攻擊,並致力支援受影響人士,盡力減低潛在影響,以及全面配合有關部門調查,同時亦會加強內部審查,定期檢視執行資訊保安措施的情況,並向董事局轄下的審計委員會匯報,提升相關管治水平。
立法會議員兼立法會資訊科技及廣播事務委員會主席葛珮帆表示,接連有公營機構發生網絡安全事故,政府應加強檢視網絡安全措施,及審視各政府部門及本地關鍵基礎設施的網絡安全隱患。她建議有關部門及機構採納網絡防護紅隊演練(Red Team Exercise)措施,彌補傳統滲透測試不足。
第一手消息請下載on.cc東網 iPhone/ iPad/ Android/
人人做記者
爆料方法 :
爆料熱線:
(852) 3600 3600
傳 真:
(852) 3600 8800
SMS:
(852) 6500 6500
人人做記者