未獲授權取覽公立學校網上應用系統內的個人資料 — 保障資料第4原則 — 個人資料的保安
背景
四所公立學校向私隱公署通報,指由負責推行教育的政策局所開發並由他們營運的網上應用系統(該系統)遭黑客入侵,導致儲存在內的資料被盜。公署就事件偵訊該四所學校及該政策局。
循規行動顯示該政策局負責向學校提供該系統的技術支援、指引和培訓,而學校作為該系統的用戶則負責操作和維護該系統,以及處理當中所載的學生個人資料。
該政策局不時發布該系統的更新版本,以提供解決網絡安全問題的附加功能。在偵測到未獲授權取覽該系統後,該政策局已發布該系統的更新版本以修補保安漏洞,並要求學校在兩周內把該系統更新至最新版本。然而,並非所有遭受攻擊的學校都及時進行更新。
補救措施
因應該事件,該政策局向學校發佈了通告,提醒他們須根據項目表定期檢查運行該系統的伺服器和日誌記錄。該政策局亦承諾在出現高風險的情況下及必須即時進行重大的安全更新時,會與學校進行更直接的溝通。另一方面,該政策局確認該系統正逐步轉移至中央雲端平台,以便更有效地監察該系統的可疑活動,及更適時採取保護措施或應用新版本。
借鑑
沒有機構可完全免受網絡攻擊,對於資料使用者而言,採取所有合理的預防措施來保護其系統免受網絡攻擊是非常重要的。雖然該政策局在這次事件中並非資料使用者,但作為該系統的提供者和公立學校的監督機構,可採取更主動的方法指示其用戶適時安裝所有重大更新。學校一旦收到由該政策局發佈就該系統的更新通知時,亦應立即採取相應行動,以保障資料的完整性和安全。
上載日期:2022年7月