日期: 2024年4月2日
私隐专员公署发表
有关数码港资料外洩事故的调查报告
个人资料私隐专员公署(私隐专员公署)完成对香港数码港管理有限公司(数码港)资料外洩事故的调查,并于今日发表调查报告。事件源于数码港向私隐专员公署通报资料外洩事故(该资料外洩事故),表示其电脑系统及档案伺服器遭受到勒索软件攻击及恶意加密。自称Trigona的黑客组织要求数码港支付赎金,为已被加密的档案解锁。事件导致超过13,000名资料当事人的个人资料外洩,当中约四成受影响人士为求职者及已离职僱员。
私隐专员公署多谢数码港在调查过程中所提供的各种资料及合作。根据调查所获得的证据,个人资料私隐专员(私隐专员)钟丽玲认为该资料外洩事故是由以下的缺失所导致:
1.
资讯系统欠缺有效的侦测措施,导致未能有效地侦测黑客以暴力攻击其资讯系统,令黑客能成功获取具管理员权限的帐户凭证,并继而进行勒索软件攻击及窃取储存于系统内的个人资料;
2.
没有为远端存取资料启用多重认证功能,以核实获授权可远端登入数码港网络的用户身分,导致黑客能利用获取的帐户凭证透过远端桌面连接进入数码港的网络,窃取个人资料;
3.
对资讯系统进行的保安审计不足,未能适时应对资讯科技的变化及网络安全的风险;
4.
资讯保安政策有欠具体 ,未能让员工有一个具体的网络保安框架可依循;及
5.
个人资料被不必要地保留:没有根据其资料保留政策在保留期届满后删除所收集得的个人资料,导致约四成受影响人士因其个人资料被不必要地保留而受该资料外洩事故影响。
私隐专员钟丽玲认为数码港是一间具规模的机构,恒常地持有并处理大量不同人士的个人资料,持份者及公众会合理地期望数码港投入足够资源确保其资讯系统及数据的安全。因此,数码港应采取足够的机构性及技术性的保安措施,以保障载有个人资料的资讯系统的安全,从而符合持份者及公众的期望。然而,调查显示数码港在该资料外洩事故发生之前未有采取足够及有效的措施以保障其资讯系统的安全,亦未有及时根据其资料保留政策删除已届保存期限的资料。
基于上述原因,私隐专员认为数码港没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了保障资料第 4(1)原则有关个人资料保安的规定。
此外,私隐专员认为数码港未有采取所有切实可行的步骤,以确保个人资料的保存时间不超过使用该资料实际所需的时间,因而违反了保障资料第 2(2)原则有关个人资料保留的规定。
私隐专员已向数码港送达执行通知,指示数码港纠正其违反事项,以及防止类似违规情况再次发生。
私隐专员亦希望借此报告,向使用资讯及通讯科技处理个人资料的机构作出以下建议:
· 设立个人资料私隐管理系统并委任保障资料主任;
· 建立稳健的网络保安框架;
· 适时对资讯系统进行风险评估及保安审计;
· 建立重视资讯安全的企业文化;及
· 适时删除个人资料。
下载《调查报告:香港数码港管理有限公司资讯系统遭勒索软件攻击》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_12170_c.pdf
私隐专员钟丽玲发表有关数码港资料外洩事故的调查报告。
私隐专员钟丽玲(右)及高级个人资料主任(合规及查询)卢浩荣(左)发表有关数码港资料外洩事故的调查报告。
私隐专员钟丽玲讲解《调查报告:香港数码港管理有限公司资讯系统遭勒索软件攻击》。
-完-