南華會資料外洩事故 私隱署裁違例促糾正

  圖:私隱專員鍾麗玲(左)及首席個人資料主任郭正熙(右)發表南華會資料外洩事故的調查結果。
  圖:私隱專員鍾麗玲(左)及首席個人資料主任郭正熙(右)發表南華會資料外洩事故的調查結果。

  【大公報訊】記者賴振雄報道:南華會三月發生會員資料外洩事故,個人資料私隱專員公署完成調查,裁定南華會違反私隱條例的規定,已要求糾正。個人資料私隱專員鍾麗玲表示,學校及非牟利機構的資料外洩事故通報數字有上升趨勢,今年首三季已錄得51宗個案,佔全部通報約三分之一,提醒任何持有個人資料的機構,應投放足夠資源,提升資料保安措施。

  私隱公署調查發現,黑客早在2022年1月、即事發前兩年,已在南華會其中一台與互聯網相連的伺服器內安裝惡意程式,隨後透過遠端存取,對南華會的電腦系統展開暴力攻擊,例如一日內嘗試登入逾四萬次,最終導致南華會共八台伺服器、一台數據儲存器,及十八台電腦受攻擊,伺服器遭勒索軟件攻擊和加密,事件導致南華會逾七萬名會員的個人資料,包括身份證號碼等外洩。

  私隱公署認為,南華會在事件中有六項缺失,包括將相關的伺服器意外地披露在互聯網中,又欠缺有效的偵測措施、沒有為管理員賬戶啟用多重認證,無定期評估風險及保安等。

  黑客潛伏近兩年

  私隱專員鍾麗玲指出,調查顯示南華會對保障所持有的會員個人資料意識薄弱,情況令人非常失望。今次事件令人關注,黑客竟然潛伏接近兩年,先安裝惡意程式,等待機會發動攻擊,鍾麗玲表示,有關「潛伏」手法並非新發現,其他通報個案也時有發生,但兩年潛伏期屬於相對較長時間。

  公署已向南華會送達執行通知,要求每年至少審視一次個人資料系統連結互聯網,定期檢視及更新偵測及警示工具,聘請獨立資訊保安專家每年進行風險評估及保安審計,南華會須在兩個月內提交改善措施的證明文件。

  學校及非牟利機構的資料外洩事故通報數字有上升趨勢,去年共157宗通報中,約四成來自學校及非牟利機構,按年上升接近一倍,今年一至九月錄得51宗個案,佔全部通報約三分之一,公署提醒任何持有個人資料的機構未雨綢繆,提升網絡安全和數據安全。