日期: 2024年10月22日
私隱專員公署發表有關南華體育會資料外洩事故的調查結果
及推出學校、非牟利機構及中小企「數據安全」套餐
個人資料私隱專員公署(私隱專員公署)完成對南華體育會(南華會)資料外洩事故的調查,並於今日發表調查結果。
調查源於南華會於2024年3月18日向私隱專員公署通報資料外洩事故,表示其伺服器遭勒索軟件攻擊及惡意加密(外洩事件)。
調查發現黑客早於2022年1月已在南華會一台與互聯網連接的伺服器內安裝了惡意程式,惟沒有證據顯示黑客當時有進一步的惡意活動。2024年3月,黑客透過潛伏在相關伺服器內的惡意程式入侵南華會網絡並安裝遠端控制軟件,隨後透過遠端存取對南華會的電腦系統展開暴力攻擊,並進行其他惡意活動,包括網絡偵察、防禦規避、停用防毒及反惡意軟件、安裝憑證竊取工具及橫向移動,最終透過勒索軟件將載有會員個人資料的檔案加密。
有關的勒索軟件屬Trigona的變種,外洩事件導致南華會共八台伺服器、一台數據儲存器及18台電腦遭受勒索軟件攻擊及加密。黑客曾要求南華會支付贖金,為已被加密的檔案解鎖。
受外洩事件影響的南華會會員數目為72,315名,所涉及的個人資料包括姓名、香港身份證號碼、護照號碼、相片、出生日期、地址、電郵地址、電話號碼及緊急聯絡人的姓名及電話號碼。
南華會在外洩事件發生後已通知所有受影響的會員,並採取一系列的改善措施以提升系統安全,包括限制南華會網內服務連接至互聯網、為管理員帳戶啟用多重認證功能、制訂密碼使用指引、定期掃描網絡以識別保安漏洞及全面執行資料離線備份等。
私隱專員公署多謝南華會配合公署的調查,並提供所要求的資訊及文件。
經考慮外洩事件的情況及調查所獲得的資料,個人資料私隱專員(
私隱專員)
鍾麗玲認為南華會的以下缺失是導致外洩事件發生的主因:─
-
相關伺服器被意外地曝露於互聯網,導致南華會的電腦系統遭受網絡攻擊的風險大幅增加,最終黑客透過相關伺服器作為踏板,入侵南華會網絡並進行勒索軟件攻擊;
-
資訊系統欠缺有效的偵測措施,以致南華會未能識別黑客早於2022年1月的惡意活動,讓黑客隨後於2024年3月透過潛伏在相關伺服器內的惡意程式入侵其網絡、遙距控制受入侵的電腦、設立具有管理員權限的帳戶、停用了安裝在相關伺服器內的防毒及反惡意軟件的功能,並於3月15至16日期間利用暴力攻擊合共向相關伺服器的另一管理員帳戶作出超過43,400次的登入嘗試,當中在4小時內更錄得超過20,000次的登入嘗試。由於南華會當時未有啟用密碼嘗試失敗的鎖定功能,導致黑客能不斷進行暴力攻擊;
-
沒有為管理員帳戶啟用多重認證功能,導致黑客無須經過其他身分核實程序便可進入相關伺服器的操作系統,進行各種惡意活動並加密會員的個人資料;
-
欠缺資訊保安政策及指引,因而未能提供全面及具體的資訊系統保安檢視規定及程序供員工依循。南華會亦沒有制訂書面密碼政策,包括列明密碼須有的複雜度、啟用密碼嘗試失敗的鎖定功能及更改密碼期限等措施,以保障帳戶安全;
-
沒有定期進行風險評估及保安審計,以檢視保安措施的成效,繼而採取改善措施以保護載有會員個人資料的系統免受網絡攻擊;及
-
欠缺離線數據備份方案,導致會員備份資料在外洩事件中同時被黑客加密,增加了數據復原的難度。
基於上述原因,私隱專員鍾麗玲認為南華會對保障所持有的會員個人資料意識薄弱。作為一個歷史悠久的體育團體及持有大量個人資料的機構,私隱專員對南華會在外洩事件發生前未能採取有效的資訊系統保安措施保障會員的個人資料安全感到非常失望。私隱專員認為,假如南華會在事發前已採取適當及足夠的機構性及技術性的保安措施,是次資料外洩事故是相當有機會可以避免的。因此,私隱專員裁定南華會沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,違反了《個人資料(私隱)條例》的保障資料第 4(1)原則有關個人資料保安的規定。
私隱專員已向南華會送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
近年有關學校及非牟利機構的資料外洩事故呈上升趨勢
私隱專員公署留意到近年涉及學校及非牟利機構的資料外洩事故呈明顯的上升趨勢。2023年,公署接獲的157宗資料外洩事故通報當中,學校及非牟利機構的個案共61宗(佔整體個案約39%),比2022年的25宗(佔整體個案約24%)上升接近一倍半(140%)。2024年首三季,公署共接獲51宗來自學校及非牟利機構的資料外洩事故通報,佔整體個案總數約33%,與上年同期接獲此類個案的百分比相若。因此,私隱專員認為學校及非牟利機構不能掉以輕心,應投放足夠資源以提升資料保安措施,從而減低個人資料系統遭受網絡攻擊的風險。
私隱專員公署2022年至2024年(截至9月)接獲涉及學校及非牟利機構的資料外洩事故通報的統計數字如下:
年份 |
學校及非牟利機構
的資料外洩事故通報
宗數(百分比) |
資料外洩事故通報
總數 |
2022 |
25(約24%) |
105 |
2023 |
61(約39%) |
157 |
2024
(截至9月) |
51(約33%) |
155 |
私隱專員鍾麗玲提醒機構:「任何持有個人資料的機構,不論其規模或行業,都應與時並進,採取適當的資料保安措施以保障所持有的個人資料。私隱專員公署鼓勵各機構參考公署刊發的《資訊及通訊科技的保安措施指引》及《資料外洩事故的處理及通報指引》,未雨綢繆,提升網絡安全和數據安全。」
私隱專員公署推出「數據安全」套餐
另外,私隱專員公署非常歡迎《行政長官2024年施政報告》中加強網絡安全的施政方針,為了協助學校、非牟利機構及中小企加強保障數據安全、網絡安全,公署由即日起推出「數據安全」套餐,參加「數據安全」套餐的機構可免費進行「數據安全快測」,評估其數據安全措施是否足夠,並在完成「快測」後享有五個免費名額參加由公署舉辦的研習班及講座。此外,公署亦已推出「數據安全」專題網頁及「數據安全」熱線2110 1155,提供相關資訊及協助。有意參加的學校、非牟利機構及中小企可電郵至
training@pcpd.org.hk查詢。
私隱專員公署亦將於今年12月分別與教育界及非牟利機構合作舉辦兩場講座,向業界分享如何提升資訊安全及採取相關保安措施的要點。為加強機構數據安全的意識,公署一直為個別機構舉辦內部培訓講座,當中加插了保障數據安全的內容。公署在今年首九個月一共為92間機構舉辦內部培訓講座。
私隱專員鍾麗玲講解私隱專員公署推出的「數據安全」套餐。
私隱專員鍾麗玲(左)及首席個人資料主任(合規及查詢)郭正熙(右)發表南華會資料外洩事故的調查結果。
-完-