私隱公署裁定數碼港違例 洩逾1.3萬人資料促兩周內糾正 - 昭傳媒 UniqueMedia.hk
     

私隱公署裁定數碼港違例 洩逾1.3萬人資料促兩周內糾正

數碼港電腦系統去年遭黑客入侵,大量個人資料遭外洩,私隱專員公署調查發現,有超過1.3萬名員工和求職者的個人資料洩漏,當中包括超過5000名求職者的個人資料,部份超過法例容許的保留期限。而涉及的個人資料包括姓名、身份證號碼、身份證的副本、護照號碼,亦有部分人士的財務資料,例如銀行帳戶號碼 、醫療報告、照片、僱傭資料,亦有部份人的信用卡資料,私隱專員鍾麗玲形容,披露的個人資料範圍相當大。

公署調查指出,數碼港無採取所有切實可行的步驟,確保涉事個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。鍾麗玲指,數碼港是具規模的機構,持有大量人士個人資料,公眾有合理期望,數碼港投入足夠資源在數據安全上,裁定數碼港違反《私隱條例》保障資料原則下,有關個人資料保安和保留的規定,向數碼港送達執行通知,指示數碼港在兩個月內糾正。

公署調查指,黑客在去年8月6日成功透過「暴力攻擊」,即以程式「撞密碼」的形式攻擊,取得一個具有管理員權限的帳戶,進入數碼港的網絡,繼而再取得另外三個具有管理員權限的帳戶的控制權,並成功關閉系統反惡意軟件的功能,再加密資料作勒索。直至8月14日,黑客加密系統內的資料,數碼港才發覺。

調查指,數碼港資訊系統欠缺有效偵測措施,令黑客成功獲取具管理員權限的帳戶憑證,繼而進行勒索軟件攻擊及竊取個人資料。調查又發現,數碼港沒有為遠端存取資料啟用多重認證功能,以核實用戶身分。

鍾麗玲指出,事件中4成受影響人士,即超過5200人是求職者或已離職僱員,反映數碼港亦沒有根據內部政策,刪除不必要保留的個人資料,如果數碼港有按政策和步驟刪除資料,受事件影響的人數會大大減少。

鍾麗玲解釋,根據數碼港資料保留政策,只會保留求職者資料1年,僱員資料則於相關人士在職時才會保留,但調查發現部分資料遠於2016年保留至今,數碼港亦未能有解釋為何未按政策刪除資料。鍾麗玲指,《私隱條例》下若資料被洩的當事人蒙受損失,可以透過民事訴訟索償,受影響人士須提供證據,如有需要,公署會提供法律意見、調解和協助索償等服務。公署指出,事件發生至今共收到65宗查詢,以及33宗投訴。

公署要求數碼港在兩個月內,徹底檢視個人資料的資訊系統的安全和保障措施,確保系統內無惡意軟件和保障的漏洞,以及配備有效的偵測措施;聘請獨立資訊保安專家對資訊系統進行最少每年一次的評估和保安審計;銷毀逾期保留的個人資料等,並要在兩個月內就向私隱專員提交文件和證明完成相關工作。

數碼港在記者會前發新聞稿,指董事局早前成立的專責小組,已經完成工作並向董事會作匯報,而數碼港亦已向私隱專員公署提交調查報告。

數碼港指,專責小組的調查發現,數碼港在內部資訊保安及數據管理方面存在改善空間,指數碼港已加強多項措施,提升各個營運層面的資訊系統保安及數據安全的水平和意識。專責小組主席伍志強指,事件發生以來,專責小組與管理層致力支援受影響人士,盡力減低潛在影響,並全面配合有關部門與私隱專員公署的調查。

數碼港又指,會加強內部審查,定期檢視執行資訊保安措施的情況,並向董事局轄下的審計委員會匯報,提升相關管治水平。

數碼港的電腦系統去年8月遭黑客組織Trigona入侵,到9月份,黑客在「暗網」公開逾400GB企業內部資料,當中包括數碼港公司的董事局會議資料、合作公司資料和招標及合約文件,亦包括員工個人資料,包括相片、身分證副本、銀行單據,並載有員工的薪金資料等。數碼港日前聘任鄭松岩出任行政總裁,明天將履新,接替出任行政總裁六年的任景信。





You may also like...