機電、消防、市建泄資料屬同雲端系統 消息:多部門用承建商軟件
近日接連有政府部門發生資料外泄事故,私隱專員署今日(14日)公布,早前出現外泄的機電工程署、消防處及市區重建局,均使用的網上平台ArcGIS Online,事故涉及登入密碼或權限設定失效,令資料在毋須登入下可以瀏覽,個人資料私隱專員公署已展開調查。
消息指,ArcGIS Online的開發公司為Esri China (Hong Kong) Limited,Esri是一間地理信息系統公司,同時提供雲端伺服器平台,不少政府部門會同時選用兩項服務。
資料顯示,近年地政總署、規劃署、土木工程拓展署及政府資訊科技總監辦公室等,都有涉及Esri的服務。
ArcGIS Online出事 私隱署籲公私營機構檢視
私隱專員公署公布,從最近接獲不同機構,包括機電署、消防處及市建局的資料外洩事故通報中,注意到三宗事故的個人資料,均存放於網上平台ArcGIS Online,而資料外洩事故涉及登入密碼及/或權限設定失效,令該平台的資料可在毋須以帳戶及/或密碼登入特定頁面的情況下被瀏覽,私隱署已依據既定程序展開調查。
私隱署呼籲曾將資料特別是個人資料,上載到該雲端平台的用戶,包括公私營機構,應定期檢視相關平台的登入密碼及/或權限設定是否有效,確保資訊安全。如檢視後發現登入密碼及/或權限設定失效而導致個人資料有機會外洩,應盡快通知受影響資料當事人,並向公署作出通報。
消息:涉事雲端由Esri開發 多機構部門採用地理系統
消息人士指,ArcGIS Online是由地理資訊系統公司Esri China (Hong Kong) Limited(環硏中國(香港)有限公司)開發,由於本港缺乏地理系統服務的供應商,因此多個政府部門及公營機構,均會選用涉事服務供應商。
消息透露,涉事服務供應商同時提供雲端伺服器平台,而最近多宗資料外泄事故便與雲端服務有關,由於其伺服器突然失去密碼的保護,以致有潛在的外泄風險,因此即使市建局的資料不確定是否已外泄,亦要向公眾交待,「唔係駭客攻擊,只係資料喺互聯網冇咗保護。」因此恐怕更多政府部門或公營機構亦牽涉在內,例如必須採用地理信息系統服務部門或機構等。
資科辦批出32億元項目 Esri等70個承辦商提供資訊服務
根據政府物流署採購系統,近年至少4個政府部門向Esri 批出合約,當中政府資訊科技總監辦公室2022年批出合約,為政府各部門提供資訊科技專業服務,為期48個月,估算32.6億元,涉及70個承辦商。
資科辦回覆表示,該筆估算32.6億元項目,Esri是資科辦批出《優質資訊科技專業服務常備承辦協議5》的70家公司其中之一,金額是整個為期48個月合約的預計合約金額。
資科辦安排常備承辦協議計劃,目的是精簡採購中小型資訊科技專業服務的程序,每份合約金額上限為港幣2000萬元。在合約期內,各政府部門可就個別資訊科技項目邀請相關服務類別的承辦商提交建議書,並根據技術和價格評審揀選服務供應商負責有關項目。
其餘尚有地政總署,有8個項目,動輒過百萬元,最貴涉及1336萬元;規劃署有4個項目,約400萬至600萬元;消防處亦有一項700萬元合約,提供實時交通訊息。
開發商Esri:用戶若開啟「分享給公眾」選項 可在互聯網被搜尋得到
《香港01》今日下午電郵至Esri中國(香港)查詢,並以WhatsApp向其創辦人兼主席、互聯網專業協會榮譽會長鄧淑明查詢。公司回應稱,因涉事部門或機構已經上報警方及私隱專員公署,在警方及私隱專員公署公佈調查結果前,公司不會就有關個案作出任何評論。
Esri表示,全球每日有數以百萬計用戶正使用其公司產品,從未接獲與產品涉及質素及可靠性有直接關聯的數據安全事故,包括雲端服務平台,重申產品的安全性符合世界級網絡安全標準,並獲多項國際安全認證。
Esri表示,用戶儲存在公司產品及平台上的數據,是受到多重及嚴格保障,只有獲授權及擁有密碼的相關用戶,才可以讀取及編輯有關數據;除非該數據的安全權限設定中有關「分享給公眾」的選項被授權用戶開啟,相關數據是不會被公開及在互聯網被搜尋得到。
消防處表示,由於警方正在調查事件,暫未能提供進一步資料;市區重建局表示,已向香港個人資料私隱專員公署報備有關事件,據了解公署會根據既定程序展開調查,市建局目前沒有其他補充。
方保僑促盡快調查 一次過公布受影響部門
香港資訊科技商會榮譽會長方保僑表示,若資料外洩事故涉及登入密碼或權限設定失效,應是更動了權限,但需要私隱專員公署調查才可確實。他又引述資科辦的指引指,公共資料切忌存放在第三方平台,因此近日多個相關部門已違反指引。他期望政府可盡快調查,一次過披露所有受影響的部門及公營機構,讓市民得以寬心。「每三日整一單嘢都唔好睇啦。」