新聞稿

個人資料私隱專員公署（私隱專員公署）完成對香港數碼港管理有限公司（數碼港）資料外洩事故的調查，並於今日發表調查報告。事件源於數碼港向私隱專員公署通報資料外洩事故（該資料外洩事故），表示其電腦系統及檔案伺服器遭受到勒索軟件攻擊及惡意加密。自稱Trigona的黑客組織要求數碼港支付贖金，為已被加密的檔案解鎖。事件導致超過13,000名資料當事人的個人資料外洩，當中約四成受影響人士為求職者及已離職僱員。
 
私隱專員公署多謝數碼港在調查過程中所提供的各種資料及合作。根據調查所獲得的證據，個人資料私隱專員（私隱專員）鍾麗玲認為該資料外洩事故是由以下的缺失所導致：
 
1.      資訊系統欠缺有效的偵測措施，導致未能有效地偵測黑客以暴力攻擊其資訊系統，令黑客能成功獲取具管理員權限的帳戶憑證，並繼而進行勒索軟件攻擊及竊取儲存於系統內的個人資料；
2.      沒有為遠端存取資料啟用多重認證功能，以核實獲授權可遠端登入數碼港網絡的用戶身分，導致黑客能利用獲取的帳戶憑證透過遠端桌面連接進入數碼港的網絡，竊取個人資料；
3.      對資訊系統進行的保安審計不足，未能適時應對資訊科技的變化及網絡安全的風險；
4.      資訊保安政策有欠具體 ，未能讓員工有一個具體的網絡保安框架可依循；及
5.      個人資料被不必要地保留：沒有根據其資料保留政策在保留期屆滿後刪除所收集得的個人資料，導致約四成受影響人士因其個人資料被不必要地保留而受該資料外洩事故影響。
 
私隱專員鍾麗玲認為數碼港是一間具規模的機構，恆常地持有並處理大量不同人士的個人資料，持份者及公眾會合理地期望數碼港投入足夠資源確保其資訊系統及數據的安全。因此，數碼港應採取足夠的機構性及技術性的保安措施，以保障載有個人資料的資訊系統的安全，從而符合持份者及公眾的期望。然而，調查顯示數碼港在該資料外洩事故發生之前未有採取足夠及有效的措施以保障其資訊系統的安全，亦未有及時根據其資料保留政策刪除已屆保存期限的資料。
 
基於上述原因，私隱專員認為數碼港沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響，因而違反了保障資料第 4(1)原則有關個人資料保安的規定。
 
此外，私隱專員認為數碼港未有採取所有切實可行的步驟，以確保個人資料的保存時間不超過使用該資料實際所需的時間，因而違反了保障資料第 2(2)原則有關個人資料保留的規定。
 
私隱專員已向數碼港送達執行通知，指示數碼港糾正其違反事項，以及防止類似違規情況再次發生。
 
私隱專員亦希望藉此報告，向使用資訊及通訊科技處理個人資料的機構作出以下建議：
 
·        設立個人資料私隱管理系統並委任保障資料主任；
·        建立穩健的網絡保安框架；
·        適時對資訊系統進行風險評估及保安審計；
·        建立重視資訊安全的企業文化；及
·        適時刪除個人資料。
 
下載《調查報告：香港數碼港管理有限公司資訊系統遭勒索軟件攻擊》：
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_12170_c.pdf
 

私隱專員鍾麗玲發表有關數碼港資料外洩事故的調查報告。

 

私隱專員鍾麗玲（右）及高級個人資料主任（合規及查詢）盧浩榮（左）發表有關數碼港資料外洩事故的調查報告。

 

私隱專員鍾麗玲講解《調查報告：香港數碼港管理有限公司資訊系統遭勒索軟件攻擊》。