數碼港資料外洩事故今(2 日)由私隱專員公署公布調查報告。報告指出,數碼港未能實施充分有效的安全措施來保護其資訊系統,也沒有按照資料保留政策及時刪除過期資料。
即刻【按此】,用 App 睇更多產品開箱影片
數碼港未能有效偵測黑客攻擊!
香港電台報道,公署報告指出,數碼港在事故當中未採取切實可行步驟確保個人資料安全,防止未經授權或意外的存取和處理,同時並未確保資料保存期限不超過實際所需,明顯違反相關法規。
公署進一步指出,數碼港資訊系統缺乏有效監測措施,未能防止黑客通過攻擊獲取具有管理員權限的帳戶憑證,從而發起勒索軟件攻擊和竊取個人資料。此外,數碼港未啟用多重認證功能以保護遠端數據,也未能確認有權遠端訪問其網絡的用戶身份。此外,更對其資訊系統進行的安全審計不足,未能及時應對資訊技術的變化和網絡安全風險。
私隱專員鍾麗玲表示,作為一個大型機構,數碼港處理大量個人資料,持分者和公眾自然期望其投入足夠資源以確保系統和數據的安全,因此必須實施充分的安全措施。公署已向數碼港發出執行通知,要求其糾正違反的行為,並建議設立個人資料私隱管理系統,委任保障資料主任,定期對系統進行風險評估,並及時刪除個人資料。去年,數碼港向公署報告了一起資料洩露事件,其電腦系統和文件伺服器遭受勒索軟件攻擊和惡意加密,導致超過 13000 人的個人資料被洩露。
【熱門報道】
Source:rthk