(香港文匯報 記者 張弦)香港南華體育會今年3月一個電腦伺服器遭黑客入侵,逾7.2萬名會員的個人敏感資料外洩。個人資料私隱專員公署昨日公布事故的調查結果,該伺服器曝露於互聯網之下猶如無掩雞籠,黑客早於兩年前已入侵及潛伏當中,其間從未被系統偵測到,直至今年3月透過惡意程式進行攻擊,並勒索南華會,會方堅拒付贖金報警處理。私隱專員公署批評,會方欠缺資訊保安意識,偵測系統失靈令黑客能潛伏兩年未被發現,黑客更曾連續逾4.3萬次登入「密碼嘗試失敗」,系統卻未曾封鎖賬戶,導致黑客能不斷攻擊。事件可能是冰山一角,香港去年涉及學校及非牟利機構的資料外洩事故,按年增加近一倍半,私隱專員公署將推出免費「數據安全」套餐,協助有關機構及中小企加強保障數據安全。
私隱專員公署的調查發現,今年3月,黑客透過兩年前安裝在相關伺服器內的惡意程式入侵南華會網絡,並對其電腦系統展開暴力攻擊及進行連串惡意入侵,包括網絡偵察、停用防毒及反惡意軟件、安裝憑證竊取工具等,以及透過一款屬俄羅斯黑客組織Trigona變種的勒索軟件,將載有會員個人資料的檔案加密。
洩7.2萬會員私隱 黑客勒索解鎖贖金
事件導致南華會共8台伺服器、一台數據儲存器及18台電腦遭受勒索軟件攻擊及加密,黑客曾要求南華會支付贖金,為被加密的檔案解鎖,事故導致72,315名會員資料外洩,涉及的個人資料包括姓名、香港身份證號碼、護照號碼、相片、聯絡電話、地址等。截至本月10日,私隱專員公署共接獲2宗投訴及9宗查詢。
個人資料私隱專員鍾麗玲批評,南華會在外洩事件發生前未有採取所有切實可行的步驟,以確保涉事的個人資料受保障,違反了《私隱條例》保障資料第4(1)原則中有關個人資料保安的規定。事件亦顯示,南華會保障個人資料的安全意識薄弱,存在六大缺失,其中之一是資訊系統欠缺有效偵測措施。
她舉例,黑客曾於今年3月15至16日利用暴力攻擊向相關伺服器另一管理員賬戶作出超過43,400次登入嘗試,屢次「密碼嘗試失敗」,最高峰曾經在4小時內錄得逾2萬次,但系統未有啟動封鎖功能,導致黑客能不斷進行暴力攻擊。
她續指,若在黑客兩年前入侵系統時,南華會的系統偵測措施到位,或者警示工具監察伺服器有不尋常活動,察覺到惡意活動並採取適當措施,防止黑客進一步入侵安裝惡意程式,或者能避免資料外洩事件的發生。
公署推「數據安全」套餐 免費為機構快測
此外,今次事件的起因是涉事伺服器曝露於互聯網,鍾麗玲形容這無疑為黑客開啟一個入口或窗口,是導致外洩事件發生的主要原因。私隱專員公署已指示南華會採取七項措施,以糾正違規事項。
鍾麗玲指出,近年涉及學校及非牟利機構的資料外洩事故明顯上升,去年接獲的157宗資料外洩事故中,學校及非牟利機構的個案佔整體個案約 39%,比2022年上升接近一倍半,鍾麗玲估計或因學校及非牟利機構存放大量個人資料,令黑客有利可圖,而這些機構的保安意識欠佳,沒有做足相關保安工作,導致外洩事故發生。
她提醒,學校及非牟利機構不能掉以輕心,應該投放足夠資源提升資料保安措施,減低個人資料系統遭受網絡攻擊的風險。私隱專員公署由昨日起推出「數據安全」套餐,參加機構可免費進行「數據安全快測」,評估數據安全措施是否足夠,公署亦將於今年12月分別與教育界及非牟利機構合作舉辦兩場講座。
研增罰則力度 資料外洩即罰
近年香港接連有機構或企業發生資料外洩事故,導致無數客戶或員工的個人敏感資料被轉賣、外洩。事故發生後,私隱專員公署一般會按照條例向相關機構發出執行通知,指示其採取措施糾正違規事項,只有當相關機構違反專員發出的執行通知時,才會有相關處罰措施,換言之,在發生資料外洩事故後,相關機構只需進行糾正措施,沒有任何處罰。私隱專員公署表示正與香港特區政府檢視修訂《私隱條例》,包括加強罰則及引入行政罰款機制和強制性資料外洩事故通報機制,加強阻嚇力。
個人資料私隱專員鍾麗玲向香港文匯報表示,現行法例下相關機構違反執行通知時才屬犯罪,最高可被判罰款5萬元及監禁2年,加上每日罰款一千元。一經再次定罪,最高可被判罰款10萬元及監禁2年,加上每日罰款2,000元。
倡引入強制性事故通報機制
她表示,公署正在檢視修訂《私隱條例》,包括加強罰則,又建議引入行政罰款機制,按資料外洩事故的性質釐訂罰款金額,以加強阻嚇力,「只要調查清楚資料外洩事故是相關機構本身導致,就應該立即有相應罰款等,而不是等到他們違反執行通知才有處罰。」公署又提出引入強制性資料外洩事故通報機制、直接監管資料處理者的建議。她希望特區政府積極考慮公署的具體建議,同意修訂《私隱條例》,做到與時並進。
她強調,在數碼年代資訊保安就如一個電子夾萬,「如果裝得唔好,入面所有個人資料、敏感資料,都可以曝露。」她建議任何持有個人資料的機構,不論其規模或行業,都應與時並進,採取適當的資料保安措施以保障所持有的個人資料。她鼓勵各機構參考公署刊發的《資訊及通訊科技的保安措施指引》及《資料外洩事故的處理及通報指引》,未雨綢繆,提升網絡安全和數據安全。
公署又表示非常歡迎施政報告提出加強網絡安全。公署已推出「數據安全」專題網頁及「數據安全」熱線2110 1155,提供相關資訊及協助。
(來源:香港文匯報A02:要聞 2024/10/23)
