图:私隐专员钟丽玲(左)及首席个人资料主任郭正熙(右)发表南华会资料外洩事故的调查结果。
【港闻报讯】记者赖振雄报道:南华会三月发生会员资料外洩事故,个人资料私隐专员公署完成调查,裁定南华会违反私隐条例的规定,已要求纠正。个人资料私隐专员钟丽玲表示,学校及非牟利机构的资料外洩事故通报数字有上升趋势,今年首三季已录得51宗个案,占全部通报约三分之一,提醒任何持有个人资料的机构,应投放足够资源,提升资料保安措施。
私隐公署调查发现,黑客早在2022年1月、即事发前两年,已在南华会其中一台与互联网相连的伺服器内安装恶意程式,随后透过远端存取,对南华会的电脑系统展开暴力攻击,例如一日内尝试登入逾四万次,最终导致南华会共八台伺服器、一台数据储存器,及十八台电脑受攻击,伺服器遭勒索软件攻击和加密,事件导致南华会逾七万名会员的个人资料,包括身份证号码等外洩。
私隐公署认为,南华会在事件中有六项缺失,包括将相关的伺服器意外地披露在互联网中,又欠缺有效的侦测措施、没有为管理员账户启用多重认证,无定期评估风险及保安等。
黑客潜伏近两年
私隐专员钟丽玲指出,调查显示南华会对保障所持有的会员个人资料意识薄弱,情况令人非常失望。今次事件令人关注,黑客竟然潜伏接近两年,先安装恶意程式,等待机会发动攻击,钟丽玲表示,有关“潜伏”手法并非新发现,其他通报个案也时有发生,但两年潜伏期属于相对较长时间。
公署已向南华会送达执行通知,要求每年至少审视一次个人资料系统连结互联网,定期检视及更新侦测及警示工具,聘请独立资讯保安专家每年进行风险评估及保安审计,南华会须在两个月内提交改善措施的证明文件。
学校及非牟利机构的资料外洩事故通报数字有上升趋势,去年共157宗通报中,约四成来自学校及非牟利机构,按年上升接近一倍,今年一至九月录得51宗个案,占全部通报约三分之一,公署提醒任何持有个人资料的机构未雨绸缪,提升网络安全和数据安全。