個人資料私隱專員在《中國日報香港版》、《香港01》、《信報》、《經濟日報》、《星島日報》及《大公報》的文章 (2023年10月)
數據安全不可忽視
近期香港有多宗個人資料外洩事故,包括兩間公營機構先後遭黑客以勒索軟件攻擊,引起全城關注。放眼海外,上月亦有營運賭場的國際酒店集團被黑客入侵,以致電腦系統癱瘓、大量資料被竊取。事實上,根據網絡安全公司 Check Point 今年8月公布的報告,全球每周網絡攻擊的平均次數在今年第二季期間激增8%,增幅屬兩年來最顯著。私隱專員公署對接連發生的個人資料外洩事件非常關注,為幫助業界應對日益增加的網絡安全威脅,在這裏與大家分享幾個建議。
勒索軟件攻擊是最常見的網絡攻擊手段之一,黑客往往以軟件加密受害者的電腦檔案,並要求支付贖金以換取解密金鑰。對機構而言,電腦系統遭到勒索軟件攻擊無疑帶來沉重代價──癱瘓機構日常運作、商譽受損、商業機密外洩、恢復電腦系統的額外開支......即使順從黑客要求(這筆者絕不認同),並支付巨額贖金,也不能保證檔案可獲解密。對市民大眾來說,若機構遭受網絡攻擊,或導致其個人資料外洩,包括電話號碼、身份證號碼、銀行帳號等等。被盜的個人資料有機會被放上暗網放售,不法之徒更可能會利用這些資料申請借貸或申請信用卡,令受害市民煩擾不堪。
機構宜未雨綢繆
上述所報道的黑客攻擊事件多牽涉大機構、大企業,它們通常管有較多個人資料,引來黑客垂涎看似理所當然,反觀中小企規模較小、保存的個人資料亦相對較少,其資料外洩風險是否必定較低?其實不然。縱使大家往往把焦點放在大規模資料外洩事故,但本港逾98.5%企業屬中小企,它們礙於資源所限,網絡保安措施或較薄弱、易遭入侵,可見中小企面對的資料外洩風險及其潛在影響均不容忽視。面對網絡安全威脅,不論機構規模大小、屬於公營或私營機構,都有責任主動採取預防措施,加強電腦系統安全以抵禦惡意攻擊。保護客戶及員工的個人資料不僅僅是企業的社會責任,更是法例要求──香港《個人資料(私隱)條例》(《私隱條例》)保障資料第4原則訂明,資料使用者須採取所有切實可行的步驟,以確保其持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。
私隱專員公署建議,機構可採取以下資料保安措施、防患未然:定期進行數據保安系統風險評估;使用防火牆等軟件保護電腦網絡,並定期更新軟件;定期對資訊及通訊系統進行保安漏洞評估及滲透測試;實施修補程式的管理;加密傳輸中和存儲中的資料;以及分開內部資料伺服器與網絡伺服器等等。
培訓員工 建「人力防火牆」
除了以上資料保安措施,為員工提供適當培訓、提高員工的資料保安意識也必不可少。畢竟黑客的入侵手段,未必如電影和劇集中的描繪般高深、複雜。在一個平常的下午,一個飯氣攻心的員工,一時大意、點擊釣魚電郵裏一個連結,整個機構的電腦系統可能就此遭黑客入侵!因此,機構應考慮將演習納入資料保安培訓,例如在提供有關釣魚詐騙的培訓後,安排模擬釣魚郵件攻擊,以實戰幫助員工提高警覺、建立一道「人力防火牆」。若可在風險可控的環境從錯誤中學習,對員工、對機構皆有裨益。
私隱專員公署亦鼓勵各機構參考公署刊發的《資訊及通訊科技的保安措施指引》,指引提供一系列的資料保安措施建議,協助機構遵從《私隱條例》的相關規定。
團結一致 確保數據安全
隨著公眾對個人資料私隱保障的期望與日俱增,機構亦應建立一妥善的個人資料私隱管理系統,以幫助機構循規地收集、持有、處理和使用個人資料,確保數據安全。此舉不但可以加強客戶對機構的信任,也能提升機構的聲譽與競爭力。現時各機構無論規模大小,都面臨類似的網絡安全風險,故此不論是制定資料保安措施的管理層,抑或是站在網絡安全最前線的員工,都必須攜手合作,主動防禦隨時來襲的網絡安全風險。總括而言,個人資料一旦外洩,就如覆水難收,機構防患於未然方為上策。