(香港文匯報記者 吳健怡)香港數碼港電腦系統於去年8月遭國際黑客組織Trigona入侵,逾1.3萬人的個人資料遭外洩。香港個人資料私隱專員公署昨日公布事故的調查報告,發現數碼港涉及五大缺失,包括違反私隱條例兩原則,例如資料保留政策規定求職者資料只保存一年,但數碼港卻保留遠至2016年的求職者資料;數碼港的保安審計頻率不足,亦欠缺有效的偵測措施,使黑客入侵逾一周才被發現,等等。該署已指示數碼港兩個月內糾正,若再次違規,將是刑事罪行。有立法會議員批評,事件暴露條例如無牙老虎,有必要加強罰則,提高阻嚇力,又建議引入網絡安全法等(見另稿)。
自稱Trigona 的黑客組織去年入侵數碼港電腦系統,網絡保安系統卻一直未察覺,直至逾一周後接獲勒索信息才發現,導致13,632人的個人資料被盜取,包括近8,000名與僱傭有關人士,並涉及5,292名求職者及已離職者的資料(包括姓名、身份證的號碼或副本、銀行賬戶號碼、醫療報告等)。
無啟用多重認證功能
個人資料私隱專員公署昨日公布事件調查報告。私隱專員鍾麗玲表示,該事件由五項缺失導致(見表)。今次網絡攻擊的起因是由於黑客取得數碼港一個具管理員權限的賬戶憑證,並透過遠端桌面連接進入數碼港的網絡,導致多個伺服器及網絡儲存裝置被入侵,涉及13個Windows系統及兩台虛擬伺服器。
黑客又利用權限,成功停止資訊系統在事發時配備的一款反惡意軟件功能,使黑客能自由地遊走於系統中。
鍾麗玲表示,數碼港使用具規模的資訊系統儲存大量個人資料,卻僅依賴一款反惡意軟件,明顯不足夠及不成比例,而且數碼港也未有為遠端存取資料啟用多重認證功能,否則就可阻止黑客透過管理員賬戶遠端進入網絡。
經調查後,公署裁定數碼港在事件中違反私隱條例6項保障資料原則之中的兩項,包括未有確保個人資料保存時間不超過其使用目的的所需時間;以及未確保其持有個人資料受保障而不受未獲准許或意外洩漏,被查閱、處理及刪除等。
她舉例說,數碼港的資料保留政策列明,求職者資料只會保存一年,但公署從接獲投訴及查詢發現,數碼港外洩的個人資料中,包括早於2016年的求職者資料,數碼港事後亦未能解釋保留資料的原因。
此外,數碼港每兩年為資訊系統作保安審計,以評估所有資訊系統有否漏洞,但事發前最近一次審計是2021年底,亦沒有規定在其中一個受事件影響的系統啟用前,作風險評估或獨立保安審計,屬明顯缺失。
當事者損失需交證據
公署就事件共接獲65宗查詢及33宗投訴,私隱條例規定如資料當事人因機構違規而蒙受損失,可提出民事索償,但一切需視乎有無足夠證據。公署已對數碼港發出「執行通知」,要求兩個月內糾正所有漏洞,聘請獨立保安專家最少每年檢視系統,以及委任保障資料主任,適時對系統進行風險評估,及適時刪除個人資料。
雖然數碼港違反條例的兩大原則,又造成逾萬人受影響,但只要數碼港按公署要求進行修正,無須受到處分;只有當數碼港再次違規,才屬刑事罪行。
被問及條例是否無牙老虎?鍾麗玲表示,公署正與政府檢視修訂私隱條例,包括加強罰則及引入行政罰款,「我覺得唔應該係小修小補咁修訂,應該整個修。」
數碼港資料外洩五項漏洞
1. 欠缺有效的偵測措施,導致未能偵測黑客以暴力攻擊其資訊系統並獲取具管理員權限的賬戶憑證,繼而進行勒索軟件攻擊及竊取個人資料。
2. 沒有為遠端存取資料啟用多重認證功能,導致黑客能利用獲取的賬戶憑證透過遠端桌面連接進入數碼港的網絡竊取個人資料。
3. 保安審計不足,未能適時應對資訊科技的變化及網絡安全的風險。
4. 政策欠具體,未能讓員工有具體的網絡保安框架可依循。
5. 不必要地保留個人資料,沒有在保留期屆滿後刪除所收集得的個人資料,導致四成受影響人士的私隱外洩。
數碼港:已即時提升防範能力
香港數碼港亡羊補牢,表示由董事局成立專責小組,督導事件調查及跟進等工作。專責小組已完成有關工作,並已向個人資料私隱專員公署提交調查報告。在資訊保安及數據管理方面,數碼港已經加強多項措施,並承諾持續地落實及優化有關系統及數據安全的措施,及為已知和潛在受影響人士即時提供免費信貸監察服務及暗網身份監察服務。在涉事黑客的暗網瓦解後,有關監察服務仍然維持生效。
聘專才定期做入侵測試
數碼港昨日表示,事後已迅速提升防範黑客攻擊的能力,採取多項措施包括鞏固網絡防護屏障,強化偵測網絡受攻擊及入侵的能力,並成功堵截後續網絡攻擊,委託專業第三方定期進行網絡安全監測及道德黑客入侵測試,以及增加監察網絡安全的工具等。
數碼港董事、網絡安全事件專責小組主席伍志強表示,自事件發生以來,專責小組與管理層積極審視及即時跟進,數碼港將繼續提升網絡安全,加強抵禦網絡保安威脅能力,確保機構營運符合私隱條例,同時會加強內部審查,定期檢視執行資訊保安措施的情況,並向董事局轄下的審計委員會匯報。
數碼港主席陳細明表示,面對網絡攻擊日趨嚴重,會繼續優化整體網絡系統及資訊保安策略,持續提升在各個營運層面的相關管治工作,由董事局監督實施成效。
議員倡網絡安全速立法
個人資料外洩事故頻生,多名專家、議員昨日接受香港文匯報訪問時均認為,香港特區政府必須盡快修訂現行私隱條例,並賦權個人資料私隱專員公署加重處罰,同時建議盡快就網絡安全立法。「中港網絡安全協會」創會主席葉青陽表示,所有機構應定時處理各種舊數據及進行風險評估,否則容易面對網絡攻擊的風險,並修例規定信用卡機構、航空公司及旅行社等擁有較多市民個人資料的機構,在出現網絡安全事故時要強制性通報。
葉青陽指出,按現行條例,若遵辦公署要求進行改善就無須罰則,在有當不遵辦才屬刑事,但亦僅被罰款10萬元以下,有必要倍增罰則以加強阻嚇力,「一些機構可能會考慮投資於網路安全的成本更高,且非賺錢生意,所以不做。」
立法會資訊科技及廣播事務委員會主席葛珮帆表示,數碼港的網絡安全意識令人難以接受,「竟然可以這麼多年也沒有刪除個人資料?明顯是忽視個人資料的保護,以及管理失當。」
她認為,多年來頻頻有機構,甚至政府部門發生網絡安全事故,除了反映社會輕視網絡安全議題,亦凸顯現行私隱條例太落後,「出事後私隱專員只能通知違規機構予以糾正,資料被洩的當事人亦只能循民事途徑索償。」她指出,歐盟地區的相關法例非常嚴謹且罰則重,促請香港特區政府加快修例,「應一併訂定網絡安全法,涵蓋不涉及個人資料的網絡安全問題。」
立法會議員吳傑莊表示,今次事故嚴重,可能僅屬冰山一角,反映現行私隱條例已經過時,應盡快修例,賦權公署進行巡查、出現事故後機構的網絡安全主管須負上刑事責任,以及加強罰則等。
(來源:香港文匯報A01:要聞 2024/04/03)