數碼港被揭五宗罪 求職者私隱留七年
私隱署勒令兩月內補鑊 研修例引入行政罰款
香港數碼港電腦系統於去年8月遭國際黑客組織Trigona入侵,逾1.3萬人的個人資料遭外洩。香港個人資料私隱專員公署昨日公布事故的調查報告,發現數碼港涉及五大缺失,包括違反私隱條例兩原則,例如資料保留政策規定求職者資料只保存一年,但數碼港卻保留遠至2016年的求職者資料;數碼港的保安審計頻率不足,亦欠缺有效的偵測措施,使黑客入侵逾一周才被發現,等等。該署已指示數碼港兩個月內糾正,若再次違規,將是刑事罪行。有立法會議員批評,事件暴露條例如無牙老虎,有必要加強罰則,提高阻嚇力,又建議引入網絡安全法等(見另稿)。 ◆香港文匯報記者 吳健怡
自稱Trigona 的黑客組織去年入侵數碼港電腦系統,網絡保安系統卻一直未察覺,直至逾一周後接獲勒索信息才發現,導致13,632人的個人資料被盜取,包括近8,000名與僱傭有關人士,並涉及5,292名求職者及已離職者的資料(包括姓名、身份證的號碼或副本、銀行賬戶號碼、醫療報告等)。
無啟用多重認證功能
個人資料私隱專員公署昨日公布事件調查報告。私隱專員鍾麗玲表示,該事件由五項缺失導致(見表)。今次網絡攻擊的起因是由於黑客取得數碼港一個具管理員權限的賬戶憑證,並透過遠端桌面連接進入數碼港的網絡,導致多個伺服器及網絡儲存裝置被入侵,涉及13個Windows系統及兩台虛擬伺服器。
黑客又利用權限,成功停止資訊系統在事發時配備的一款反惡意軟件功能,使黑客能自由地遊走於系統中。
鍾麗玲表示,數碼港使用具規模的資訊系統儲存大量個人資料,卻僅依賴一款反惡意軟件,明顯不足夠及不成比例,而且數碼港也未有為遠端存取資料啟用多重認證功能,否則就可阻止黑客透過管理員賬戶遠端進入網絡。
經調查後,公署裁定數碼港在事件中違反私隱條例6項保障資料原則之中的兩項,包括未有確保個人資料保存時間不超過其使用目的的所需時間;以及未確保其持有個人資料受保障而不受未獲准許或意外洩漏,被查閱、處理及刪除等。
她舉例說,數碼港的資料保留政策列明,求職者資料只會保存一年,但公署從接獲投訴及查詢發現,數碼港外洩的個人資料中,包括早於2016年的求職者資料,數碼港事後亦未能解釋保留資料的原因。
此外,數碼港每兩年為資訊系統作保安審計,以評估所有資訊系統有否漏洞,但事發前最近一次審計是2021年底,亦沒有規定在其中一個受事件影響的系統啟用前,作風險評估或獨立保安審計,屬明顯缺失。
當事者損失需交證據
公署就事件共接獲65宗查詢及33宗投訴,私隱條例規定如資料當事人因機構違規而蒙受損失,可提出民事索償,但一切需視乎有無足夠證據。公署已對數碼港發出「執行通知」,要求兩個月內糾正所有漏洞,聘請獨立保安專家最少每年檢視系統,以及委任保障資料主任,適時對系統進行風險評估,及適時刪除個人資料。
雖然數碼港違反條例的兩大原則,又造成逾萬人受影響,但只要數碼港按公署要求進行修正,無須受到處分;只有當數碼港再次違規,才屬刑事罪行。
被問及條例是否無牙老虎?鍾麗玲表示,公署正與政府檢視修訂私隱條例,包括加強罰則及引入行政罰款,「我覺得唔應該係小修小補咁修訂,應該整個修。」
數碼港資料外洩五項漏洞
1. 欠缺有效的偵測措施,導致未能偵測黑客以暴力攻擊其資訊系統並獲取具管理員權限的賬戶憑證,繼而進行勒索軟件攻擊及竊取個人資料。
2. 沒有為遠端存取資料啟用多重認證功能,導致黑客能利用獲取的賬戶憑證透過遠端桌面連接進入數碼港的網絡竊取個人資料。
3. 保安審計不足,未能適時應對資訊科技的變化及網絡安全的風險。
4. 政策欠具體,未能讓員工有具體的網絡保安框架可依循。
5. 不必要地保留個人資料,沒有在保留期屆滿後刪除所收集得的個人資料,導致四成受影響人士的私隱外洩。
◆資料來源:香港個人資料私隱專員公署
整理:香港文匯報記者 吳健怡
