未获授权取览公立学校网上应用系统内的个人资料 — 保障资料第4原则 — 个人资料的保安
背景
四所公立学校向私隐公署通报,指由负责推行教育的政策局所开发并由他们营运的网上应用系统(该系统)遭黑客入侵,导致储存在内的资料被盗。公署就事件侦讯该四所学校及该政策局。
循规行动显示该政策局负责向学校提供该系统的技术支援、指引和培训,而学校作为该系统的用户则负责操作和维护该系统,以及处理当中所载的学生个人资料。
该政策局不时发布该系统的更新版本,以提供解决网络安全问题的附加功能。在侦测到未获授权取览该系统后,该政策局已发布该系统的更新版本以修补保安漏洞,并要求学校在两周内把该系统更新至最新版本。然而,并非所有遭受攻击的学校都及时进行更新。
补救措施
因应该事件,该政策局向学校发布了通告,提醒他们须根据项目表定期检查运行该系统的伺服器和日志记录。该政策局亦承诺在出现高风险的情况下及必须即时进行重大的安全更新时,会与学校进行更直接的沟通。另一方面,该政策局确认该系统正逐步转移至中央云端平台,以便更有效地监察该系统的可疑活动,及更适时采取保护措施或应用新版本。
借鉴
没有机构可完全免受网络攻击,对于资料使用者而言,采取所有合理的预防措施来保护其系统免受网络攻击是非常重要的。虽然该政策局在这次事件中并非资料使用者,但作为该系统的提供者和公立学校的监督机构,可采取更主动的方法指示其用户适时安装所有重大更新。学校一旦收到由该政策局发布就该系统的更新通知时,亦应立即采取相应行动,以保障资料的完整性和安全。
上载日期:2022年7月