香港个人资料私隐专员公署(私隐公署)2日发表对香港数码港管理有限公司(数码港)资料外泄事故的调查报告。
数码港于2023年8月中旬发现系统被黑客入侵,造成逾1.3万名当事人的个人资料数据泄露,其中约四成为求职者或已离职雇员。相关资料超过400GB,包含相关人士的姓名、身份证号、护照号码、银行账户信息等。根据 网络安全 专家的针对性调查,事故起因是黑客取得数码港一个具管理员权限的账户凭据,通过远端桌面连接进入内部网络,随后通过各种工具进行网络恶意活动,致使数码港13个Windows系统和两台虚拟服务器被入侵。
私隐公署2日公布的调查报告中指出,此次资料外泄事故主要由5方面缺失造成:其一,数码港的资讯系统欠妥有效的侦测措施;其二,未启用远端存取资料多重认证功能,以核对获授权可远端登入数码港网络的用户身份;其三,对资讯系统进行的保安审计不足,事发前最后一次审计距离资料外泄事故发生已超过19个月,无法适时应对资讯科技的变化和 网络安全 的危险;其四,资讯保安政策欠具体,未给员工提供可依循的、具体的网络保安框架;其五,未根据其资料保存政策删除保存期届满的个人资料。
对此,个人资料私隐专员钟丽玲表示,希望通过此份报告,向数码港和其它使用资讯和通讯科技处理个人资料的机构提出5项建议:应设立个人资料私隐管理系统并委任保障资料主任、建立稳健的网络保安框架、适时对资讯系统进行风险评估和保安审计、建立重视资讯安全的企业文化、适时删除逾期保存的个人资料。