私隱公署：數碼港違規逾期保留資料 未能有效偵測黑客攻擊

私隱專員公署公布數碼港資料外洩事故調查報告，指數碼港未有採取足夠和有效措施，保障資訊系統安全，也未有及時根據保留資料政策，刪除已屆保存期限的資料。

資料圖片(圖片來源:星島日報)

公署認為，數碼港未有採取切實可行步驟，確保涉事個人資料受保障和不受未獲准許或意外的查閱和處理等，以及確保資料保存時間，不超過使用資料實際所需時間，違反相關規定。

公署說，數碼港資訊系統欠缺有效偵測措施，導致未能有效偵測黑客以暴力攻擊資訊系統，令黑客能成功獲取具管理員權限的帳戶憑證，並進行勒索軟件攻擊和竊取儲存系統內的個人資料。

示意圖。設計圖片

公署說，數碼港沒有為遠端存取資料啟用多重認證功能、核實獲授權可遠端登入數碼港網絡的用户身分；又指對資訊系統進行的保安審計不足，未能適時應對資訊科技變化和網絡安全風險。

私隱專員鍾麗玲認為，數碼港是一間具規模的機構，恆常持有並處理大量不同人士的個人資料，持分者和公眾會合理期望數碼港投入足夠資源，確保系統和數據安全，因此底採取足夠保安措施。

私隱專員鍾麗玲。資料圖片

公署表示，私隱專員已向數碼港送達執行通知，指示糾正違反事項，又建議公司設立個人資料私隱管理系統，並委任保障資料主任，適時對系統進行風險評估，及適時刪除個人資料，防止類似違規再次發生。

資料圖片

數碼港去年向公署通報資料外洩事故，電腦系統和檔案伺服器被勒索軟件攻擊和惡意加密，事故導致超過13000人的個人資料外洩。

私隱專員公署日前公布數碼港資料外洩事故調查報告，指源於五項缺失，包括資訊系統欠缺有效偵測措施，個人資料被不必要保留等，要求數碼港兩個月完成有關指示，再向公署提交證據。數碼港表示，會於兩個月內逐步完成私隱專員發出的7項執行通知。

數碼港表示歡迎有關方案，將全力配合有關建議。（shutterstock）

在立法會資訊科技及廣播事務委員會，數碼港董事局主席陳細明表示，數碼港於事故發生後，得到深刻的經驗總結，形容網絡安全是重中之重的基石，已深入調查及作全面檢討，並落實專家建議，成功欄截往後一連串後續攻擊，完成多項改善措施。

數碼港行政總裁鄭松岩表示，數碼港已採取多項措施迅速提升防範黑客攻擊的能力，並已跟進網絡安全專家就資訊系統保安提出的16項建議，完成當中15項，包括提升終端防護軟件，強化偵測網絡攻擊及入侵的能力等。數碼港亦正聯繫及支援受影響人士，包括委託獨立顧問監控暗網，識別受影響人士並提供免費信貸監察服務等。在私隱專員執行指示方面，數碼港已刪除所有已屆一年保留期限的求職者個人資料，以及已屆7年保留期限的離職僱員個人資料等，並聘請獨立第三方資訊保安專家，對資訊系統進行風險評估及保安審計，增加資訊系統保安審計至每年最少一次等。