新聞稿

個人資料私隱專員公署（私隱專員公署）完成對香港桂冠論壇委員會（桂冠論壇）及香港芭蕾舞團有限公司（芭蕾舞團）資料外洩事故的調查，並於今日發表調查結果。

（一）桂冠論壇的資訊系統遭勒索軟件攻擊 

調查源於桂冠論壇於2023年9月27日向私隱專員公署通報資料外洩事故，表示桂冠論壇的電腦系統及檔案伺服器遭受勒索軟件攻擊（桂冠論壇外洩事件）。
 
調查發現桂冠論壇的網絡最初於2023年9月26日遭黑客入侵。黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶（該帳戶）憑證，並利用該帳戶通過防火牆的虛擬私有網絡區域成功進入桂冠的伺服器。黑客隨後於桂冠論壇的網絡內進行橫向移動及放置勒索軟件「Elbie」，導致儲存在桂冠論壇的一組伺服器及七個端點裝置的檔案被加密。同時，存放於另一組伺服器的備份數據亦遭黑客毁壞。
 
受桂冠論壇外洩事件影響的人士數目為8,122名，包括約7,200名電子通訊訂閱戶的姓名及電郵地址受影響，另外約920名的受影響人士包括青年科學家申請人、邵逸夫獎得獎者及其隨行人員、論壇大使／活動助理申請人、本地科學家及講者、評審員、活動助理，以及桂冠論壇的現職僱員、前僱員及委員。涉及的個人資料包括姓名、地址、電郵地址、電話號碼、護照資料、完整及／或部分護照／香港身份證號碼、銀行戶口／信用卡資料、出生日期、國籍／出生地、履歷表／成績單、關聯機構及／或學歷背景。
 
桂冠論壇在外洩事件發生後採取了多項機構性和技術性的改善措施，包括重新訂定防火牆規則，進行全面的帳戶審計及制定嚴格的密碼政策等，以提升整體系統保安以保障個人資料私隱。
 
經考慮外洩事件的情況及調查所獲得的資料，個人資料私隱專員（私隱專員）鍾麗玲認為桂冠論壇的以下缺失是導致外洩事件發生的主因：─

1. 資訊系統管理有欠妥善，包括其防火牆的韌體已過時並存在多項嚴重漏洞、防毒軟件的病毒資料庫自2019年起不曾更新、沒有為遠端存取資料啟用多重認證功能核實用戶身分、沒有制定密碼政策、沒有採用網絡分段或設置內部防火牆規則，亦不曾為資訊系統進行保安審計及漏洞評估等；
2. 對服務供應商採取的資料保安措施缺乏監察，以確保服務供應商履行已簽訂的合同要求適時更新軟件及安裝修補程式，導致桂冠論壇在外洩事件發生後才發現其防火牆使用已過時的韌體並存在多項嚴重漏洞，而防毒軟件的病毒資料庫亦已過時；
3. 欠缺資訊保安政策及指引，令員工及服務供應商未能清楚了解他們在網絡保安框架下的責任及需實施的安全規程；及
4. 缺乏適當的數據備份方案，未有將原始數據及備份數據存放於不同網絡，導致備份數據在外洩事件中遭黑客毁壞，無法進行數據復原。

基於上述原因，私隱專員鍾麗玲裁定桂冠論壇沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響，因而違反了《個人資料（私隱）條例》（《私隱條例》）的保障資料第 4(1)原則有關個人資料保安的規定。
 
私隱專員已向桂冠論壇送達執行通知，指示其採取措施以糾正違規事項，以及防止類似違規情況再次發生。

（二）芭蕾舞團的伺服器遭勒索軟件攻擊
 
調查源於芭蕾舞團於2023年10月16日向私隱專員公署通報資料外洩事故，表示芭蕾舞團於2023年9月29日遭受勒索軟件攻擊，導致其資訊系統的四組實體伺服器受影響（芭蕾舞團外洩事件）。
 
調查發現芭蕾舞團的網絡最初於2023年9月15日遭黑客入侵。由於當時芭蕾舞團的一組伺服器的運作軟件已屬過時，黑客遂利用該伺服器的漏洞，成功進入芭蕾舞團的網絡。黑客隨後透過各種惡意工具及程式，包括轉儲憑證工具及遠端存取工具，在取得資訊科技管理員及用戶的帳戶密碼後，進而獲取了與芭蕾舞團的網絡的相關資料及與網絡連接的電腦的詳情，並在其網絡內進行橫向移動。
 
黑客於2023年9月17日利用一個系統管理員帳戶，放置勒索軟件「LockBit」，導致儲存在芭蕾舞團資訊系統內的檔案被加密，黑客並竊取了系統內的資料及檔案。
 
調查亦發現，芭蕾舞團無法確實受影響檔案內的資料。根據芭蕾舞團的估算，受外洩事件影響的人士數目可能為37,840名，包括芭蕾舞團的僱員、求職者、門票訂購者、客席藝術家、活動參加者、捐款者、贊助者及供應商。涉及的個人資料包括姓名、香港身份證號碼、護照號碼、相片、出生日期、地址、電郵地址、電話號碼、健康資料、銀行戶口號碼及／或信用卡號碼（不包含安全碼）、僱傭資料及學歷資料。
 
在芭蕾舞團外洩事件發生後，芭蕾舞團已採取多項機構性和技術性的改善措施，包括重新部署網路基礎設施使其符合安全設計原則，及更新與網絡安全有關的政策，以提升整體系統保安以保障個人資料私隱，並已委聘網絡安全專家就有關資訊系統保安提供建議，以符合最新的網絡安全標準。
 
經考慮外洩事件的情況及調查所獲得的資料，私隱專員鍾麗玲認為芭蕾舞團的以下缺失是導致外洩事件發生的主因：─

1. 相關伺服器的運作軟件已過時，並存在多項嚴重的遠端程式碼執行漏洞，而芭蕾舞團沒有任何關於保安修補或更新其伺服器的政策或程序，這突顯了芭蕾舞團在定期保安修補及更新方面的明顯缺失；
2. 相關伺服器在服務供應商進行系統遷移過程中被不必要地曝露於互聯網，大幅增加遭受網絡攻擊的風險，亦使相關伺服器在外洩事件中遭黑客利用；
3. 對服務供應商採取的資料保安措施缺乏監察，以確保服務供應商對系統作出適時更新，並對資訊系統實施足夠的保安措施以保障儲存在內的個人資料，而與服務供應商簽訂的服務合約中，亦沒有關於資料保安方面的要求；及
4. 沒有對資訊系統進行保安評估及保安審計，導致芭蕾舞團未能適時識別相關伺服器的漏洞，亦增加了資訊系統受到攻擊的風險。

基於上述原因，私隱專員鍾麗玲裁定芭蕾舞團沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響，因而違反了《私隱條例》的保障資料第 4(1)原則有關個人資料保安的規定。
 
私隱專員已向芭蕾舞團送達執行通知，指示其採取措施以糾正違規事項，以及防止類似違規情況再次發生。
 
私隱專員公署明白中小企以及非牟利組織投放於網絡安全方面的資源或許有限，惟隨着機構的資訊系統數碼化，全球的網絡攻擊和資料外洩事故亦有上升趨勢，私隱專員鍾麗玲提醒機構：「面對與日俱增的網絡安全威脅，不論機構大小，都不宜掉以輕心，應加強網絡保安及數據安全以抵禦惡意攻擊，從而保障所持有的個人資料。」
 

私隱專員建議機構應採取合適的機構性及技術性措施以保障載有個人資料的資訊系統，包括以下措施：

• 定期進行保安系統風險評估；
• 使用防火牆等軟件保護電腦網絡；
• 定期更新軟件；
• 定期對資訊及通訊系統進行保安漏洞評估及滲透測試；
• 實施修補程式的管理；
• 分開內部資料伺服器與網絡伺服器；及
• 為員工提供適當培訓，提高員工的數據安全意識，建立一道「人力防火牆」。

私隱專員公署鼓勵各機構參考公署刊發的《資訊及通訊科技的保安措施指引》及《資料外洩事故的處理及通報指引》，未雨綢繆，提升網絡安全和數據安全。為協助企業保障數據安全，公署已推出了「數據安全」專題網頁[1]、「數據安全」熱線 （2110 1155），以及方便企業就其資訊及通訊科技系統的資料保安措施進行自我評估的「數據安全快測」[2]。