私隱公署發表調查報告

    數碼港資料外洩五缺失導致

    【中新社香港二日電】香港個人資料私隱專員公署二日發表對香港數碼港管理有限公司資料外洩事故的調查報告。

    遠端連接入侵內網

    數碼港於二〇二三年八月中旬發現系統被黑客入侵，導致逾一點三萬名當事人的個人資料數據洩露，其中約四成為求職者或已離職僱員。相關資料超過400GB，包括相關人士的姓名、身份證號、護照號碼、銀行賬戶信息等。根據網絡安全專家的針對性調查，事故起因是黑客取得數碼港一個具管理員權限的賬戶憑證，通過遠端桌面連接進入內部網絡，隨後通過各種工具進行網絡惡意活動，致使數碼港十三個Windows系統和兩台虛擬服務器被入侵。

    系統欠缺有效偵測

    私隱公署二日公佈的調查報告中指出，此次資料外洩事故主要由五方面缺失導致：其一，數碼港的資訊系統欠缺有效的偵測措施；其二，未啟用遠端存取資料多重認證功能，以核實獲授權可遠端登入數碼港網絡的用戶身份；其三，對資訊系統進行的保安審計不足，事發前最後一次審計距離資料外洩事故發生已超過十九個月，無法適時應對資訊科技的變化和網絡安全的風險；其四，資訊保安政策欠具體，未給員工提供可依循的、具體的網絡保安框架；其五，未根據其資料保留政策删除保留期屆滿的個人資料。

    適時删除逾期個資

    對此，個人資料私隱專員鍾麗玲表示，希望通過此份報告，向數碼港以及其他使用資訊和通訊科技處理個人資料的機構提出五項建議：應設立個人資料私隱管理系統並委任保障資料主任、建立穩健的網絡保安框架、適時對資訊系統進行風險評估和保安審計、建立重視資訊安全的企業文化、適時删除逾期保留的個人資料。

    鍾麗玲表示，網絡攻擊是全球性問題。各機構必須提高網絡安全意識，及時升級網絡安全架構，維護網絡安全。