黑客入侵消委會|私隱署收1宗投訴 籲所有機構定期評估保安漏洞
繼數碼港遭黑客入侵,消費者委員會亦遭黑客以勒索軟件惡意入侵,8成系統受到破壞,目前未能確認被盜走的數據內容。 黑客以勒索軟件入侵的事接二連三,與網絡安全有關的資料外洩引起關注,個人資料私隱專員鍾麗玲今午(22日)稱,對事件非常關注,譴責非法網絡攻擊行為,並且提醒所有機構不論公私營必須遵守個人資料私隱條例規定。就消委會遭入侵事件,鍾麗玲指現時只有初步資料,要待日後有更多資料,才能評論有否違規。
鍾麗玲建議,所有持有個人資料機構定期進行資料保安風險評估,並提醒所有機構、不論公私營機構亦要防患未然,增強對網絡安全的意識,審視其數據保安系統,亦要採取相應措施加強數據安全,防範資訊系統受到惡意攻擊,如採取防火牆、反惡意軟件等、定期對資訊系統進行保安漏洞評估以及滲透測試等。就消委會事件,她指現時只有初步資料,要待日後有更多資料,才能評論消委會有否違規、或會否展開調查。
譴責非法網絡攻擊行為然 鍾麗玲:如資料外洩應盡快通報公署
私隱專員鍾麗玲今午譴責非法網絡攻擊行為,並且提醒所有機構不論公私營必須遵守個人資料私隱條例規定。
鍾麗玲指,個人資料私隱專員公署於去年8月推出資訊及通訊科技的保安措施指引,內裡已羅列一系列資訊與通訊系統的保安措施供大眾參考。署方在今年亦推出資料外洩事故處理以及通報的指引,建議機構如發生資料外洩的事故,應該要在切實可行的情況下,盡快通報公署,並盡快通知受影響人士。
鍾麗玲指,作為資料使用者,每一個機構也有責任確保資料安全在,在私隱條例下已定明,資料使用者要使用所有切實可行的步驟,以確保數據安全,且不會在不獲授權、或意外情況下遭查閱或使用。
她表示,當然不希望資料外洩事故發生,但在發生之後,也建議機構應該要盡快通知公署,以便為機構發受影響人士提供協助。她指出,很多時會有受影響人士到私隱公署查詢、甚或投訴,公署會視乎情況啟動調查,又或進一步發表調查報告、發出執行通知要求機構跟進違規地方等。
就消委會事件,她指現時只有初步資料,要待日後有更多資料,才能評論消委會有否違規、或會否展開調查。
就消委會保留應聘者資料七年,鍾麗玲指,私隱專員公署曾發出人力資源個人資料保存期限的指引,表面看來消委會做法是符合指引建議。至於是否需要調整期限,她指這些指引不時會更新,署方也會審視有關情況及法律才作決定。
就數碼港事件,鍾麗玲表示公署收到24宗投訴、52宗查詢;就消委會的事件,則收到1宗投訴、8宗查詢。
被問到除數碼港及消委會,有沒有收到其他機構遭黑客入侵、資料外洩的通報,她指不時收到這類通報,但基於保密原因不便披露,但她指有些通報已在調查,只是盡早向公署備案,也有些個案的影響的規模較小。