政府部門「泄密」 專家倡訂條款 用第三方軟件資料須存政府雲端
政府近期接連出現資料外泄風險,政府資訊科技總監辦公室上周指示各首長,於一周內檢視保安資訊系統。資科辦表示,各部門已完成檢視工作,並確認沒有把敏感及個人資料儲存於公有雲平台上。
香港資訊科技商會榮譽會長方保僑質疑,連串事件反映有部門涉嫌違反資科辦的保安指引,需要負上責任,事件亦揭示現有措施不足,建議資科辦定期及頻密指示部門首長就資訊保安作出匯報,甚至在採購時於標書訂立條款,「軟件同供應商,但資料儲存喺政府雲端」。
資科辦回覆查詢表示,已向所有決策局及部門(局/部門)首長發出指示,要求各局/部門全面檢視現有資訊保安措施及其轄下資訊系統,以確保敏感及個人資料得到妥善保障,同時提醒所有人員必須嚴格遵守保安規例、政府資訊科技保安政策及指引。
資科辦過去一周聯絡所有部門:檢視後沒把敏感資料存公有雲平台
資科辦在過去一個星期主動聯絡所有部門,而所有局/部門亦根據指示完成檢視工作並已向資科辦確認,按政府的資訊保安政策,沒有把敏感及個人資料儲存於公有雲平台上。
方保僑促資科辦加密審視各部門運作
方保僑表示,資科辦會向政府各部門提供「資訊科技保安指引」,各部門亦有一位資訊科技保安主任,惟近期連串事件反映仍有不足,基於資科辦人手,未必能夠全面介入各部門的資訊保安,建議要求部門首長頻密審視資訊系統,定期提交報告,再由資科辦抽查。
他指出,不少政府部門都會因應運作,採購坊間不同軟件程式,個別資料或會儲存於第三方系統,一旦供應商系統出現問題,會造成潛在外泄風險,加上,第三方雲端系統保安程度參差不齊,具外部登入功能,存有保安風險。
方保僑提到,相對而言,政府雲端系統抵禦能力較強,認為任何敏感而重要的資料應保存於政府雲端,甚至可以在採購軟件系統時,於標書中加入保安條款,「軟件同供應商,但資料儲存喺政府雲端」。
私隱專員公署:機電、消防、市建泄資料屬同雲端系統
私隱專員公署日前公布,從最近接獲不同機構,包括機電署、消防處及市建局的資料外洩事故通報中,注意到三宗事故的個人資料,均存放於網上平台ArcGIS Online,而資料外洩事故涉及登入密碼及/或權限設定失效,令該平台的資料可在毋須以帳戶及/或密碼登入特定頁面的情況下被瀏覽,私隱署已依據既定程序展開調查。
資料顯示,ArcGIS Online的開發商為Esri China (Hong Kong) Limited。