发布时间:2024-12-28 04:55:48 来源: sp20241228
中新社 香港4月2日电 (记者 刘大炜)香港个人资料私隐专员公署(私隐公署)2日发表对香港数码港管理有限公司(数码港)资料外泄事故的调查报告。
数码港于2023年8月中旬发现系统被黑客入侵,导致逾1.3万名当事人的个人资料数据泄露,其中约四成为求职者或已离职雇员。相关资料超过400GB,包括相关人士的姓名、身份证号、护照号码、银行账户信息等。根据网络安全专家的针对性调查,事故起因是黑客取得数码港一个具管理员权限的账户凭证,通过远端桌面连接进入内部网络,随后通过各种工具进行网络恶意活动,致使数码港13个Windows系统和两台虚拟服务器被入侵。
私隐公署2日公布的调查报告中指出,此次资料外泄事故主要由5方面缺失导致:其一,数码港的资讯系统欠缺有效的侦测措施;其二,未启用远端存取资料多重认证功能,以核实获授权可远端登入数码港网络的用户身份;其三,对资讯系统进行的保安审计不足,事发前最后一次审计距离资料外泄事故发生已超过19个月,无法适时应对资讯科技的变化和网络安全的风险;其四,资讯保安政策欠具体,未给员工提供可依循的、具体的网络保安框架;其五,未根据其资料保留政策删除保留期届满的个人资料。
对此,个人资料私隐专员钟丽玲表示,希望通过此份报告,向数码港以及其他使用资讯和通讯科技处理个人资料的机构提出5项建议:应设立个人资料私隐管理系统并委任保障资料主任、建立稳健的网络保安框架、适时对资讯系统进行风险评估和保安审计、建立重视资讯安全的企业文化、适时删除逾期保留的个人资料。
钟丽玲表示,网络攻击是全球性问题。各机构必须提高网络安全意识,及时升级网络安全架构,维护网络安全。(完) 【编辑:付子豪】