立法會資訊科技及廣播事務委員會主席葛珮帆批評,數碼港輕視處理個人資料,管理失當。
私隱專員公署調查報告指出,數碼港資料外洩事故涉及5項缺失,包括資訊系統欠缺有效偵測措施,個人資料被不必要保留等,導致超過1萬3千人的資料外洩。立法會資訊科技及廣播事務委員會主席葛珮帆批評,數碼港輕視處理個人資料,管理失當。
立法會議員葛珮帆。
她在港台節目《千禧年代》表示,數碼港資訊保安系統無做多重認證,令黑客打通所有通道,屬於很低級保安錯誤,不應該發生。她指出,受害人個人資料包括身份證、銀行戶口等已被公開,黑客可做很多犯法行為,會令受害人會感到惶恐,認為數碼港只提供一年的暗網身份監察不足夠,建議延長,並考慮為受害人提供心理輔導。
數碼港。 資料圖片
對於數碼港過去年每兩年為資訊系統作保安審計,電腦安全研究員賴灼東在同一節目表示,即使規模不及數碼港的公司,也會每半年至一年做一次審計。他說,數碼港對受害人提出的補救措施是應份要做,完全無驚喜,而數碼港作為具標誌性機構,應考慮形象,向受害人作出賠償。
賴灼東批評,多重認證在十年前已好成熟,認為數碼港應要做好準備,因為黑客可能會作第二次或第三次攻撃。
近日政府部門接連發生外洩個人資料事故,立法會資訊科技及廣播事務委員會主席葛珮帆形容事件可大可小,情況不能接受,政府應嚴肅調查,並根據合約追究承辦商責任。
公司註冊處。資料圖片
對於政府部門接二連三發生資料外洩,包括公司註冊處的事件影響約11萬人,葛珮帆在電台節目中表示,資訊科技辦公室一直有指引,要求各個部門保護市民私隱,如果要求資科辦每日去管各部門的情況,並不切實可行。她認為隨著政府部門數碼化,部門首長要就相關事件問責,促請公務員事務局責成部門首長做好網絡安全,如果再發生類似事件,要有人問責或接受紀律處分。
葛珮帆
香港資訊科技商會榮譽會長方保僑在同一節目說,公司註冊處外洩事件,絕對是系統設計問題,屬不應犯的錯誤,應在系統推出前就要發現。他促請當局汲取今次經驗,由資科辦作出檢視,不同部門本身有亦有資訊科技部門,日後成立數字政策辧公室,不應各自為政,不斷重覆犯錯。
方保僑。資料圖片
葛珮帆期後見記者時指出,從近年選舉事務處、數碼港、消委會、公司註冊處及機電工程署先後發生的同類事件來看,市民個人資料外洩主要是由於管理及人為因素。就此,民建聯提出以下4項建議,包括當局必須就事故進行徹查並追究責任;當局應責成各政府部門首長及資訊科技部門須對其電腦系統的保安工作問責,以保障系統網絡及資訊安全,如發現有人為疏忽或違規,相關人員須作紀律處分。
葛佩帆於立會見記者。 民建聯Youtube截圖
另外,政府應在所有資訊科技項目中引入「隱私數據評估和審計」,以確保系統不會向公眾披露過多和不必要的個人數據;及未來「數字政策辦公室」須密切監察網絡攻擊的趨勢和保安威脅,適時發出警報通知,並提高各政府部門網絡及資訊安全的即時應變能力和防範意識。
另外,機電署早前一度洩漏圍封強檢的17000個人資料,方保僑指出公共數據不應放在外間雲端伺服器,一旦承辦商更改系統權限,情況難以控制。
