新聞稿
私隐专员公署发表有关南华体育会资料外泄事故的调查结果 及 推 出 学校、非牟利机构及 中小企“数据安全”套餐
日期: 2024年10月22日
私隐专员公署发表有关南华体育会资料外洩事故的调查结果
私隐专员公署发表有关南华体育会资料外洩事故的调查结果
及推出学校、非牟利机构及中小企「数据安全」套餐
个人资料私隐专员公署(私隐专员公署)完成对南华体育会(南华会)资料外洩事故的调查,并于今日发表调查结果。
调查源于南华会于2024年3月18日向私隐专员公署通报资料外洩事故,表示其伺服器遭勒索软件攻击及恶意加密(外洩事件)。
调查发现黑客早于2022年1月已在南华会一台与互联网连接的伺服器内安装了恶意程式,惟没有证据显示黑客当时有进一步的恶意活动。2024年3月,黑客透过潜伏在相关伺服器内的恶意程式入侵南华会网络并安装远端控制软件,随后透过远端存取对南华会的电脑系统展开暴力攻击,并进行其他恶意活动,包括网络侦察、防御规避、停用防毒及反恶意软件、安装凭证窃取工具及横向移动,最终透过勒索软件将载有会员个人资料的档案加密。有关的勒索软件属Trigona的变种,外洩事件导致南华会共八台伺服器、一台数据储存器及18台电脑遭受勒索软件攻击及加密。黑客曾要求南华会支付赎金,为已被加密的档案解锁。
受外洩事件影响的南华会会员数目为72,315名,所涉及的个人资料包括姓名、香港身份证号码、护照号码、相片、出生日期、地址、电邮地址、电话号码及紧急联络人的姓名及电话号码。
南华会在外洩事件发生后已通知所有受影响的会员,并采取一系列的改善措施以提升系统安全,包括限制南华会网内服务连接至互联网、为管理员帐户启用多重认证功能、制订密码使用指引、定期扫描网络以识别保安漏洞及全面执行资料离线备份等。
私隐专员公署多谢南华会配合公署的调查,并提供所要求的资讯及文件。经考虑外洩事件的情况及调查所获得的资料,个人资料私隐专员(私隐专员)钟丽玲认为南华会的以下缺失是导致外洩事件发生的主因:─
基于上述原因,私隐专员钟丽玲认为南华会对保障所持有的会员个人资料意识薄弱。作为一个历史悠久的体育团体及持有大量个人资料的机构,私隐专员对南华会在外洩事件发生前未能采取有效的资讯系统保安措施保障会员的个人资料安全感到非常失望。私隐专员认为,假如南华会在事发前已采取适当及足够的机构性及技术性的保安措施,是次资料外洩事故是相当有机会可以避免的。因此,私隐专员裁定南华会没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,违反了《个人资料(私隐)条例》的保障资料第 4(1)原则有关个人资料保安的规定。
私隐专员已向南华会送达执行通知,指示其采取措施以纠正违规事项,以及防止类似违规情况再次发生。
近年有关学校及非牟利机构的资料外洩事故呈上升趋势
私隐专员公署留意到近年涉及学校及非牟利机构的资料外洩事故呈明显的上升趋势。2023年,公署接获的157宗资料外洩事故通报当中,学校及非牟利机构的个案共61宗(佔整体个案约39%),比2022年的25宗(佔整体个案约24%)上升接近一倍半(140%)。2024年首三季,公署共接获51宗来自学校及非牟利机构的资料外洩事故通报,佔整体个案总数约33%,与上年同期接获此类个案的百分比相若。因此,私隐专员认为学校及非牟利机构不能掉以轻心,应投放足够资源以提升资料保安措施,从而减低个人资料系统遭受网络攻击的风险。
私隐专员公署2022年至2024年(截至9月)接获涉及学校及非牟利机构的资料外洩事故通报的统计数字如下:
私隐专员钟丽玲提醒机构:「任何持有个人资料的机构,不论其规模或行业,都应与时并进,采取适当的资料保安措施以保障所持有的个人资料。私隐专员公署鼓励各机构参考公署刊发的《资讯及通讯科技的保安措施指引》及《资料外洩事故的处理及通报指引》,未雨绸缪,提升网络安全和数据安全。」
私隐专员公署推出「数据安全」套餐
另外,私隐专员公署非常欢迎《行政长官2024年施政报告》中加强网络安全的施政方针,为了协助学校、非牟利机构及中小企加强保障数据安全、网络安全,公署由即日起推出「数据安全」套餐,参加「数据安全」套餐的机构可免费进行「数据安全快测」,评估其数据安全措施是否足够,并在完成「快测」后享有五个免费名额参加由公署举办的研习班及讲座。此外,公署亦已推出「数据安全」专题网页及「数据安全」热线2110 1155,提供相关资讯及协助。有意参加的学校、非牟利机构及中小企可电邮至training@pcpd.org.hk查询。
私隐专员公署亦将于今年12月分别与教育界及非牟利机构合作举办两场讲座,向业界分享如何提升资讯安全及采取相关保安措施的要点。为加强机构数据安全的意识,公署一直为个别机构举办内部培训讲座,当中加插了保障数据安全的内容。公署在今年首九个月一共为92间机构举办内部培训讲座。
调查源于南华会于2024年3月18日向私隐专员公署通报资料外洩事故,表示其伺服器遭勒索软件攻击及恶意加密(外洩事件)。
调查发现黑客早于2022年1月已在南华会一台与互联网连接的伺服器内安装了恶意程式,惟没有证据显示黑客当时有进一步的恶意活动。2024年3月,黑客透过潜伏在相关伺服器内的恶意程式入侵南华会网络并安装远端控制软件,随后透过远端存取对南华会的电脑系统展开暴力攻击,并进行其他恶意活动,包括网络侦察、防御规避、停用防毒及反恶意软件、安装凭证窃取工具及横向移动,最终透过勒索软件将载有会员个人资料的档案加密。有关的勒索软件属Trigona的变种,外洩事件导致南华会共八台伺服器、一台数据储存器及18台电脑遭受勒索软件攻击及加密。黑客曾要求南华会支付赎金,为已被加密的档案解锁。
受外洩事件影响的南华会会员数目为72,315名,所涉及的个人资料包括姓名、香港身份证号码、护照号码、相片、出生日期、地址、电邮地址、电话号码及紧急联络人的姓名及电话号码。
南华会在外洩事件发生后已通知所有受影响的会员,并采取一系列的改善措施以提升系统安全,包括限制南华会网内服务连接至互联网、为管理员帐户启用多重认证功能、制订密码使用指引、定期扫描网络以识别保安漏洞及全面执行资料离线备份等。
私隐专员公署多谢南华会配合公署的调查,并提供所要求的资讯及文件。经考虑外洩事件的情况及调查所获得的资料,个人资料私隐专员(私隐专员)钟丽玲认为南华会的以下缺失是导致外洩事件发生的主因:─
- 相关伺服器被意外地曝露于互联网,导致南华会的电脑系统遭受网络攻击的风险大幅增加,最终黑客透过相关伺服器作为踏板,入侵南华会网络并进行勒索软件攻击;
- 资讯系统欠缺有效的侦测措施,以致南华会未能识别黑客早于2022年1月的恶意活动,让黑客随后于2024年3月透过潜伏在相关伺服器内的恶意程式入侵其网络、遥距控制受入侵的电脑、设立具有管理员权限的帐户、停用了安装在相关伺服器内的防毒及反恶意软件的功能,并于3月15至16日期间利用暴力攻击合共向相关伺服器的另一管理员帐户作出超过43,400次的登入尝试,当中在4小时内更录得超过20,000次的登入尝试。由于南华会当时未有启用密码尝试失败的锁定功能,导致黑客能不断进行暴力攻击;
- 没有为管理员帐户启用多重认证功能,导致黑客无须经过其他身分核实程序便可进入相关伺服器的操作系统,进行各种恶意活动并加密会员的个人资料;
- 欠缺资讯保安政策及指引,因而未能提供全面及具体的资讯系统保安检视规定及程序供员工依循。南华会亦没有制订书面密码政策,包括列明密码须有的复杂度、启用密码尝试失败的锁定功能及更改密码期限等措施,以保障帐户安全;
- 没有定期进行风险评估及保安审计,以检视保安措施的成效,继而采取改善措施以保护载有会员个人资料的系统免受网络攻击;及
- 欠缺离线数据备份方案,导致会员备份资料在外洩事件中同时被黑客加密,增加了数据复原的难度。
基于上述原因,私隐专员钟丽玲认为南华会对保障所持有的会员个人资料意识薄弱。作为一个历史悠久的体育团体及持有大量个人资料的机构,私隐专员对南华会在外洩事件发生前未能采取有效的资讯系统保安措施保障会员的个人资料安全感到非常失望。私隐专员认为,假如南华会在事发前已采取适当及足够的机构性及技术性的保安措施,是次资料外洩事故是相当有机会可以避免的。因此,私隐专员裁定南华会没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,违反了《个人资料(私隐)条例》的保障资料第 4(1)原则有关个人资料保安的规定。
私隐专员已向南华会送达执行通知,指示其采取措施以纠正违规事项,以及防止类似违规情况再次发生。
近年有关学校及非牟利机构的资料外洩事故呈上升趋势
私隐专员公署留意到近年涉及学校及非牟利机构的资料外洩事故呈明显的上升趋势。2023年,公署接获的157宗资料外洩事故通报当中,学校及非牟利机构的个案共61宗(佔整体个案约39%),比2022年的25宗(佔整体个案约24%)上升接近一倍半(140%)。2024年首三季,公署共接获51宗来自学校及非牟利机构的资料外洩事故通报,佔整体个案总数约33%,与上年同期接获此类个案的百分比相若。因此,私隐专员认为学校及非牟利机构不能掉以轻心,应投放足够资源以提升资料保安措施,从而减低个人资料系统遭受网络攻击的风险。
私隐专员公署2022年至2024年(截至9月)接获涉及学校及非牟利机构的资料外洩事故通报的统计数字如下:
| 年份 |
学校及非牟利机构 的资料外洩事故通报 宗数(百分比) |
资料外洩事故通报 总数 |
| 2022 | 25(约24%) | 105 |
| 2023 | 61(约39%) | 157 |
|
2024 (截至9月) |
51(约33%) | 155 |
私隐专员钟丽玲提醒机构:「任何持有个人资料的机构,不论其规模或行业,都应与时并进,采取适当的资料保安措施以保障所持有的个人资料。私隐专员公署鼓励各机构参考公署刊发的《资讯及通讯科技的保安措施指引》及《资料外洩事故的处理及通报指引》,未雨绸缪,提升网络安全和数据安全。」
私隐专员公署推出「数据安全」套餐
另外,私隐专员公署非常欢迎《行政长官2024年施政报告》中加强网络安全的施政方针,为了协助学校、非牟利机构及中小企加强保障数据安全、网络安全,公署由即日起推出「数据安全」套餐,参加「数据安全」套餐的机构可免费进行「数据安全快测」,评估其数据安全措施是否足够,并在完成「快测」后享有五个免费名额参加由公署举办的研习班及讲座。此外,公署亦已推出「数据安全」专题网页及「数据安全」热线2110 1155,提供相关资讯及协助。有意参加的学校、非牟利机构及中小企可电邮至training@pcpd.org.hk查询。
私隐专员公署亦将于今年12月分别与教育界及非牟利机构合作举办两场讲座,向业界分享如何提升资讯安全及采取相关保安措施的要点。为加强机构数据安全的意识,公署一直为个别机构举办内部培训讲座,当中加插了保障数据安全的内容。公署在今年首九个月一共为92间机构举办内部培训讲座。
私隐专员钟丽玲讲解私隐专员公署推出的「数据安全」套餐。
私隐专员钟丽玲(左)及首席个人资料主任(合规及查询)郭正熙(右)发表南华会资料外洩事故的调查结果。
-完-