日期:2020年6月26日
疫情下網絡安全風險增加
私隱專員提供保安建議
大流行疫情期間,許多機構都推行在家工作安排和社交距離措施,令視像會議軟件、網上平台和流動應用程式的使用率大增,增加了網絡安全的風險。香港近日資料外洩事故有上升趨勢。
根據香港生產力促進局今年5月公布最新的「SSH香港企業網絡保安準備指數2020」調查結果[1],今年企業網絡保安準備指數下跌的其中一個因素是受到疫情影響,企業將資源集中應對生意減少的挑戰而將網絡安全置後。另外,經濟合作及發展組織表示[2],有不法之徒利用疫情進行網絡欺詐、釣魚活動,令網上安全的風險倍增,世界經濟論壇亦提示[3],網絡罪犯往往利用疫情對大眾帶來的恐懼和疑惑去犯案。國際刑警組織也發出警告[4],表示由於社會將焦點轉移到公共衞生危機,或降低網絡防護意識,令網絡罪犯乘機攻擊個人、企業甚至全球組織的網絡系統。世界衛生組織便是受害者之一,在今年四月表示自身受到網絡攻擊的次數比去年同期高出五倍,而冒充其身份的電子郵件欺詐事件也急劇增加[5]。
香港個人資料私隱專員(私隱專員)黃繼兒表示:「在疫情下,世界各地的機構和個人不論工作和日常生活都聚集於網絡世界。資訊科技在疫情下為人們帶來方便,但當我們停留在網上的時間越長,個人資料越容易有可能不慎洩漏或受到攻擊,例如人為疏忽、黑客入侵、惡意軟件、偽冒與疫情有關的釣魚電郵及網站等。」
私隱專員強調,不論公私營機構,都必須按《個人資料(私隱)條例》(《私隱條例》)的規定採取有效的保安措施,妥善保障其處理的個人資料不會未經准許或意外地被查閱、處理、刪除、喪失或使用,否則便有可能違反《私隱條例》下的資料保安原則。就疫情下網絡安全方面,私隱專員為公、私營機構及市民提供一些實用的建議(詳見附件)。
-完-
附件
給公、私營機構有關網絡安全的建議
-
機構應制定清晰及足夠的政策、處理方式、程序和機制,以保障個人資料私隱不被侵擾,特別是性質獨特及敏感的個人資料,其中包括:
-
因應資料的數量及敏感度(如涉及身份證號碼),機構應考慮採取更多有效的技術保安措施,例如採用雙重認證方式來查閱資料等;
-
當透過虛擬私人網絡(VPN)以連接機構網絡時宜使用多重身份認證;
-
確保Wi-Fi無線網絡的安全;
-
為裝置或帳戶定期更改密碼;
-
安裝適合的防病毒軟件;
-
為裝置定期進行系統更新;
-
選擇私隱友好的設定,例如進行在線會議時不允許錄製視頻或音頻。禁用任何關注追蹤功能;
-
在開始會議之前務必驗證在線會議的參與者身份,並為會議設置密碼;
-
提醒員工切勿點撃網頁鏈結及下載文件或應用程式,而應向有關組織或當局核實其真確性;
-
提醒員工在發送或上載文件之前,應一再仔細檢查要發送的內容和收件人的身份;及
-
提醒員工如需使用便攜式裝置儲存及轉移資料前必須得到上司批准及將儲存的文件加密;
-
若發生或懷疑發生資料外洩事故,私隱專員鼓勵肇事機構盡早通知公署,此舉有利於私隱專員與相關機構攜手,減低因事件對所涉受害人士可能構成的潛在損害,及對所涉機構在商譽上可能構成的傷害,並尋求改善方案有效防止事件再次發生。私隱專員亦鼓勵肇事機構盡快通知受影響的資料當事人。
-
除了遵從《私隱條例》的規定外,機構亦應恪守更高的數據道德標準,以尊重、互惠和公平的數據管理價值處理市民的個人資料,以符合市民的期望。
-
私隱專員鼓勵機構引入「私隱管理系統」,把個人資料私隱保障納入機構管治責任,由上而下推行公開和具透明度的資訊政策和常規,並採納「貫徹私隱設計」(Privacy by Design)及「預設私隱」(Privacy by Default)模式作為企業的核心考慮因素,方為長遠應對個人資料私隱保障的方案。而第三方供應商和企業的合作夥伴也應進行私隱影響評估(Privacy Impact Assessment),以防範於未然。
給市民的建議
-
私隱專員提醒巿民要時刻保持警惕:
-
留意網上個人帳戶有沒有不尋常的活動記錄;
-
避免打開可疑電郵的附件或點擊不明來源的電郵連結;
-
若懷疑帳戶密碼外洩,應立即更改所有相關帳戶的密碼以自保;
-
安裝適當的防毒軟件;
-
在網上或社交平台上提供個人資料前要清楚知道向誰人及為何提供個人資料,以及要明白披露個人資料會帶來的影響;
-
要懂得安全地連接Wi-Fi無線網絡;
-
不要讓裝置記錄你的登入狀態;
-
當在網上搜尋有關疫情的資訊時,要查證該網站是否官方網站;及
-
當在網上購買抗疫物品(例如口罩等)時,要查證該網站的背景及私隱政策,不應貿然披露不必要的個人資料。
-
任何人士如懷疑其個人資料私隱受到侵犯,可以向私隱公署作投訴,公署會根據既定程序和法例作出跟進處理。
-
市民若發現其個人資料被盜用並涉及詐騙、勒索等刑事罪行,應盡快報警求助。