个人资料私隐专员在《中国日报香港版》、《香港01》、《信报》、《经济日报》、《星岛日报》及《大公报》的文章 (2023年10月)
数据安全不可忽视
近期香港有多宗个人资料外洩事故,包括两间公营机构先后遭黑客以勒索软件攻击,引起全城关注。放眼海外,上月亦有营运赌场的国际酒店集团被黑客入侵,以致电脑系统瘫痪、大量资料被窃取。事实上,根据网络安全公司 Check Point 今年8月公布的报告,全球每周网络攻击的平均次数在今年第二季期间激增8%,增幅属两年来最显着。私隐专员公署对接连发生的个人资料外洩事件非常关注,为帮助业界应对日益增加的网络安全威胁,在这里与大家分享几个建议。
勒索软件攻击是最常见的网络攻击手段之一,黑客往往以软件加密受害者的电脑档案,并要求支付赎金以换取解密金钥。对机构而言,电脑系统遭到勒索软件攻击无疑带来沉重代价──瘫痪机构日常运作、商誉受损、商业机密外洩、恢复电脑系统的额外开支......即使顺从黑客要求(这笔者绝不认同),并支付巨额赎金,也不能保证档案可获解密。对市民大众来说,若机构遭受网络攻击,或导致其个人资料外洩,包括电话号码、身份证号码、银行帐号等等。被盗的个人资料有机会被放上暗网放售,不法之徒更可能会利用这些资料申请借贷或申请信用卡,令受害市民烦扰不堪。
机构宜未雨绸缪
上述所报道的黑客攻击事件多牵涉大机构、大企业,它们通常管有较多个人资料,引来黑客垂涎看似理所当然,反观中小企规模较小、保存的个人资料亦相对较少,其资料外洩风险是否必定较低?其实不然。纵使大家往往把焦点放在大规模资料外洩事故,但本港逾98.5%企业属中小企,它们碍于资源所限,网络保安措施或较薄弱、易遭入侵,可见中小企面对的资料外洩风险及其潜在影响均不容忽视。面对网络安全威胁,不论机构规模大小、属于公营或私营机构,都有责任主动采取预防措施,加强电脑系统安全以抵御恶意攻击。保护客户及员工的个人资料不仅仅是企业的社会责任,更是法例要求──香港《个人资料(私隐)条例》(《私隐条例》)保障资料第4原则订明,资料使用者须采取所有切实可行的步骤,以确保其持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。
私隐专员公署建议,机构可采取以下资料保安措施、防患未然:定期进行数据保安系统风险评估;使用防火墙等软件保护电脑网络,并定期更新软件;定期对资讯及通讯系统进行保安漏洞评估及渗透测试;实施修补程式的管理;加密传输中和存储中的资料;以及分开内部资料伺服器与网络伺服器等等。
培训员工 建「人力防火墙」
除了以上资料保安措施,为员工提供适当培训、提高员工的资料保安意识也必不可少。毕竟黑客的入侵手段,未必如电影和剧集中的描绘般高深、复杂。在一个平常的下午,一个饭气攻心的员工,一时大意、点击钓鱼电邮里一个连结,整个机构的电脑系统可能就此遭黑客入侵!因此,机构应考虑将演习纳入资料保安培训,例如在提供有关钓鱼诈骗的培训后,安排模拟钓鱼邮件攻击,以实战帮助员工提高警觉、建立一道「人力防火墙」。若可在风险可控的环境从错误中学习,对员工、对机构皆有裨益。
私隐专员公署亦鼓励各机构参考公署刊发的《资讯及通讯科技的保安措施指引》,指引提供一系列的资料保安措施建议,协助机构遵从《私隐条例》的相关规定。
团结一致 确保数据安全
随着公众对个人资料私隐保障的期望与日俱增,机构亦应建立一妥善的个人资料私隐管理系统,以帮助机构循规地收集、持有、处理和使用个人资料,确保数据安全。此举不但可以加强客户对机构的信任,也能提升机构的声誉与竞争力。现时各机构无论规模大小,都面临类似的网络安全风险,故此不论是制定资料保安措施的管理层,抑或是站在网络安全最前线的员工,都必须携手合作,主动防御随时来袭的网络安全风险。总括而言,个人资料一旦外洩,就如复水难收,机构防患于未然方为上策。