日期:2020年6月26日
疫情下网络安全风险增加
私隐专员提供保安建议
大流行疫情期间,许多机构都推行在家工作安排和社交距离措施,令视像会议软件、网上平台和流动应用程式的使用率大增,增加了网络安全的风险。香港近日资料外洩事故有上升趋势。
根据香港生产力促进局今年5月公布最新的「SSH香港企业网络保安准备指数2020」调查结果[1],今年企业网络保安准备指数下跌的其中一个因素是受到疫情影响,企业将资源集中应对生意减少的挑战而将网络安全置后。另外,经济合作及发展组织表示[2],有不法之徒利用疫情进行网络欺诈、钓鱼活动,令网上安全的风险倍增,世界经济论坛亦提示[3],网络罪犯往往利用疫情对大众带来的恐惧和疑惑去犯案。国际刑警组织也发出警告[4],表示由于社会将焦点转移到公共衞生危机,或降低网络防护意识,令网络罪犯乘机攻击个人、企业甚至全球组织的网络系统。世界卫生组织便是受害者之一,在今年四月表示自身受到网络攻击的次数比去年同期高出五倍,而冒充其身份的电子邮件欺诈事件也急剧增加[5]。
香港个人资料私隐专员(私隐专员)黄继儿表示:「在疫情下,世界各地的机构和个人不论工作和日常生活都聚集于网络世界。资讯科技在疫情下为人们带来方便,但当我们停留在网上的时间越长,个人资料越容易有可能不慎洩漏或受到攻击,例如人为疏忽、黑客入侵、恶意软件、伪冒与疫情有关的钓鱼电邮及网站等。」
私隐专员强调,不论公私营机构,都必须按《个人资料(私隐)条例》(《私隐条例》)的规定采取有效的保安措施,妥善保障其处理的个人资料不会未经准许或意外地被查阅、处理、删除、丧失或使用,否则便有可能违反《私隐条例》下的资料保安原则。就疫情下网络安全方面,私隐专员为公、私营机构及市民提供一些实用的建议(详见附件)。
-完-
附件
给公、私营机构有关网络安全的建议
-
机构应制定清晰及足够的政策、处理方式、程序和机制,以保障个人资料私隐不被侵扰,特别是性质独特及敏感的个人资料,其中包括:
-
因应资料的数量及敏感度(如涉及身份证号码),机构应考虑采取更多有效的技术保安措施,例如采用双重认证方式来查阅资料等;
-
当透过虚拟私人网络(VPN)以连接机构网络时宜使用多重身份认证;
-
确保Wi-Fi无线网络的安全;
-
为装置或帐户定期更改密码;
-
安装适合的防病毒软件;
-
为装置定期进行系统更新;
-
选择私隐友好的设定,例如进行在线会议时不允许录制视频或音频。禁用任何关注追踪功能;
-
在开始会议之前务必验证在线会议的参与者身份,并为会议设置密码;
-
提醒员工切勿点撃网页链结及下载文件或应用程式,而应向有关组织或当局核实其真确性;
-
提醒员工在发送或上载文件之前,应一再仔细检查要发送的内容和收件人的身份;及
-
提醒员工如需使用便携式装置储存及转移资料前必须得到上司批准及将储存的文件加密;
-
若发生或怀疑发生资料外洩事故,私隐专员鼓励肇事机构尽早通知公署,此举有利于私隐专员与相关机构携手,减低因事件对所涉受害人士可能构成的潜在损害,及对所涉机构在商誉上可能构成的伤害,并寻求改善方案有效防止事件再次发生。私隐专员亦鼓励肇事机构尽快通知受影响的资料当事人。
-
除了遵从《私隐条例》的规定外,机构亦应恪守更高的数据道德标准,以尊重、互惠和公平的数据管理价值处理市民的个人资料,以符合市民的期望。
-
私隐专员鼓励机构引入「私隐管理系统」,把个人资料私隐保障纳入机构管治责任,由上而下推行公开和具透明度的资讯政策和常规,并采纳「贯彻私隐设计」(Privacy by Design)及「预设私隐」(Privacy by Default)模式作为企业的核心考虑因素,方为长远应对个人资料私隐保障的方案。而第三方供应商和企业的合作夥伴也应进行私隐影响评估(Privacy Impact Assessment),以防范于未然。
给市民的建议
-
私隐专员提醒巿民要时刻保持警惕:
-
留意网上个人帐户有没有不寻常的活动记录;
-
避免打开可疑电邮的附件或点击不明来源的电邮连结;
-
若怀疑帐户密码外洩,应立即更改所有相关帐户的密码以自保;
-
安装适当的防毒软件;
-
在网上或社交平台上提供个人资料前要清楚知道向谁人及为何提供个人资料,以及要明白披露个人资料会带来的影响;
-
要懂得安全地连接Wi-Fi无线网络;
-
不要让装置记录你的登入状态;
-
当在网上搜寻有关疫情的资讯时,要查证该网站是否官方网站;及
-
当在网上购买抗疫物品(例如口罩等)时,要查证该网站的背景及私隐政策,不应贸然披露不必要的个人资料。
-
任何人士如怀疑其个人资料私隐受到侵犯,可以向私隐公署作投诉,公署会根据既定程序和法例作出跟进处理。
-
市民若发现其个人资料被盗用并涉及诈骗、勒索等刑事罪行,应尽快报警求助。