报章专栏

近期香港有多宗个人资料外洩事故，包括两间公营机构先后遭黑客以勒索软件攻击，引起全城关注。放眼海外，上月亦有营运赌场的国际酒店集团被黑客入侵，以致电脑系统瘫痪、大量资料被窃取。事实上，根据网络安全公司 Check Point 今年8月公布的报告，全球每周网络攻击的平均次数在今年第二季期间激增8%，增幅属两年来最显着。私隐专员公署对接连发生的个人资料外洩事件非常关注，为帮助业界应对日益增加的网络安全威胁，在这里与大家分享几个建议。
 
勒索软件攻击是最常见的网络攻击手段之一，黑客往往以软件加密受害者的电脑档案，并要求支付赎金以换取解密金钥。对机构而言，电脑系统遭到勒索软件攻击无疑带来沉重代价──瘫痪机构日常运作、商誉受损、商业机密外洩、恢复电脑系统的额外开支......即使顺从黑客要求（这笔者绝不认同），并支付巨额赎金，也不能保证档案可获解密。对市民大众来说，若机构遭受网络攻击，或导致其个人资料外洩，包括电话号码、身份证号码、银行帐号等等。被盗的个人资料有机会被放上暗网放售，不法之徒更可能会利用这些资料申请借贷或申请信用卡，令受害市民烦扰不堪。
 
机构宜未雨绸缪
上述所报道的黑客攻击事件多牵涉大机构、大企业，它们通常管有较多个人资料，引来黑客垂涎看似理所当然，反观中小企规模较小、保存的个人资料亦相对较少，其资料外洩风险是否必定较低？其实不然。纵使大家往往把焦点放在大规模资料外洩事故，但本港逾98.5%企业属中小企，它们碍于资源所限，网络保安措施或较薄弱、易遭入侵，可见中小企面对的资料外洩风险及其潜在影响均不容忽视。面对网络安全威胁，不论机构规模大小、属于公营或私营机构，都有责任主动采取预防措施，加强电脑系统安全以抵御恶意攻击。保护客户及员工的个人资料不仅仅是企业的社会责任，更是法例要求──香港《个人资料（私隐）条例》（《私隐条例》）保障资料第4原则订明，资料使用者须采取所有切实可行的步骤，以确保其持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。
 
私隐专员公署建议，机构可采取以下资料保安措施、防患未然：定期进行数据保安系统风险评估；使用防火墙等软件保护电脑网络，并定期更新软件；定期对资讯及通讯系统进行保安漏洞评估及渗透测试；实施修补程式的管理；加密传输中和存储中的资料；以及分开内部资料伺服器与网络伺服器等等。
 
培训员工 建「人力防火墙」
除了以上资料保安措施，为员工提供适当培训、提高员工的资料保安意识也必不可少。毕竟黑客的入侵手段，未必如电影和剧集中的描绘般高深、复杂。在一个平常的下午，一个饭气攻心的员工，一时大意、点击钓鱼电邮里一个连结，整个机构的电脑系统可能就此遭黑客入侵！因此，机构应考虑将演习纳入资料保安培训，例如在提供有关钓鱼诈骗的培训后，安排模拟钓鱼邮件攻击，以实战帮助员工提高警觉、建立一道「人力防火墙」。若可在风险可控的环境从错误中学习，对员工、对机构皆有裨益。
 
私隐专员公署亦鼓励各机构参考公署刊发的《资讯及通讯科技的保安措施指引》，指引提供一系列的资料保安措施建议，协助机构遵从《私隐条例》的相关规定。
 
团结一致 确保数据安全
随着公众对个人资料私隐保障的期望与日俱增，机构亦应建立一妥善的个人资料私隐管理系统，以帮助机构循规地收集、持有、处理和使用个人资料，确保数据安全。此举不但可以加强客户对机构的信任，也能提升机构的声誉与竞争力。现时各机构无论规模大小，都面临类似的网络安全风险，故此不论是制定资料保安措施的管理层，抑或是站在网络安全最前线的员工，都必须携手合作，主动防御随时来袭的网络安全风险。总括而言，个人资料一旦外洩，就如复水难收，机构防患于未然方为上策。