香港銀行學會洩11.3萬人個人資料 私隱專員公署發通知促糾正
私隱專員公署今日(9日)發表香港銀行學會資料外洩事故的調查報告,事件導致超過11.3萬人的個人資料外洩。公署認為學會違反了《私隱條例》保障資料第4(1)原則有關個人資料保安的規定,已向學會送達執行通知,指示學會糾正以及防止有關違規情況再發生,兩個月內提交報告。
香港銀行學會早前向公署通報資料外洩事故,指其名下六台載有個人資料的伺服器遭勒索軟件攻擊及惡意加密,一名黑客威脅學會將該些伺服器內的檔案上載至互聯網,並要求學會支付贖金,為已被加密的檔案解鎖,共約過1.3萬名會員及約10萬名非會員的個人資料外洩,當中包括姓名、聯絡資料、僱主名稱及職位,部份人士的身份證號碼、信用卡號碼、出生日期、專業認證詳情及考試結果亦受影響。
公署批學會風險意識及個資保安措施不足
公署認為,事件源於學會未有制定修補程式管理程序,以致未有為受影響的系統安裝修補程式,導致黑客利用相關漏洞,首先取得保密插口層虛擬私有網絡(Secure Sockets Layer Virtual Private Network, SSL VPN)帳戶及密碼,在入侵系統取得系統管理員權限並執行勒索軟件後,成功加密伺服器。學會亦未有為SSL VPN啟用多重認證,以加強相關系統保安。
個人資料私隱專員鍾麗玲表示,學會在資料保安風險意識及個人資料保安措施方面存在不足,包括資料保安風險管理欠佳、資訊系統管理有欠妥善,及未適時啟用多重認證功能。鍾麗玲表示,個人資料私隱專員公署已送達執行通知,要求銀行學會提升資訊科技保安系統,指示學會糾正以及防止有關違規情況再發生,並於兩個月內提交報告,確保學會的個人資料儲存符合要求。
署理首席個人資料主任(合規及查詢)郭正熙指,學會欠缺有效的資料保安風險管理機制,在保養關鍵的網絡設備上對服務提供者採取寬鬆態度,導致載有個人資料的資訊系統的保安措施無法有效應對網絡安全風險和威脅。
私隱專員經調查後認為,學會沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了 《私隱條例》保障資料第4(1)原則有關個人資料保安的規定。私隱專員已向學會送達執行通知,指示學會糾正以及防止有關違規情況再發生。
促設保障資料主任
郭正熙建議,機構使用資訊及通訊科技處理個人資料時,應提高警覺,防止黑客攻擊,定時進行風險評估,並設立個人資料私隱管理系統,循規使用及保留個人資料,而且有效管理個人資料的整個生命週期。
公署亦建議,機構委任專責人員作為保障資料主任,提升資訊系統管理,包括制訂有效的修補程式管理程序,盡早修補保安漏洞,並且確實執行數據備份,制訂數據備份政策定期備份含有重要資料的系統,同時妥善監督服務提供者。