黑客入侵數碼港|電腦專家指新加坡會即時罰款 議員促加強監管

撰文:孔繁栩
出版:更新:

數碼港被黑客入侵,多達400GB的資料被「撕票」放到暗網免費下載。電腦安全研究員賴灼東質疑,黑客利用數碼港兩年前的漏洞成功盜取資料勒索,令人錯愕,形容是「嚴重疏忽」,加上黑客會互通漏洞資訊,可能持續有不同黑客上門勒索。他又提到,新加坡早年修訂法例提高罰款,當機構出現資料外洩會即時罰款,相反本港法例欠缺阻嚇力。

立法會保安事務委員成員吳傑莊指出,事故反映數碼港網絡安全意識不足,非常嚴重,認為政府需要加強監管資料管理人,並訂立應變方案。

私隱專員公署表示,會繼續參考其他司法管轄區的相關法例,同時考慮香港的實際情況,擬訂切實可行的修例建議以加強保障個人資料私隱。

電腦安全研究員賴灼東在商台節目《在晴朗的一天出發》表示,數碼港管理不同初創及科技公司,以其規模沒可能遇上這種事故,而且今次黑客利用過兩年前的漏洞進行攻擊勒索,但數碼港本應有滲透性測試及定期修補漏洞,最後仍發生這種事件,令人錯愕,明顯是嚴重疏忽。

賴灼東:數碼港仍有在線系統存漏洞

他又指,資料顯示數碼港現時仍有互聯網在線系統存在漏洞,而黑客組織會私下互相聯絡,「好似新年咁,呢個擺盤桔(勒索)喺你門口,隔兩三日第二個組織又擺盤桔,好嚴重」,他過往曾協助受勒索機構,即使繳交贖金不代表資料不會外洩,更可能有第二個黑客組織找上門,「過幾個月又有第二間,畀得一次畀唔到第二次」。

賴灼東又提到,新加坡早年已修訂法例,當企業出現資料外洩,無論發生原因為何,都可以被罰款100萬新加坡幣或該公司當年的10%收入,「一嚟即刻罰咗先,唔係等你主動報案先做嘢,係好果斷咁強化地位,對商業價值有信心。」相反私隱專員公署只能針對事件調查和警告,目前無法例可針對懲罰資料外洩,欠缺阻嚇力,促政府檢討政策。

賴灼東。﹙洪業銘攝﹚

私隱署建議機構經「資料外洩事故」作通報

現時,私隱專員公署設有「資料外洩事故通報」,法例沒有規定資料使用者就外洩事故通知私隱署,但建議資料使用者作出通報,以妥善處理有關事故。

而根據《私隱條例》,列明要求資料使用者採取一切切實可行的步驟,保障個人資料不會未經授權或意外地被查閲、處理、刪除、喪失或使用,私隱專員可向證實違規者發執行通知要求糾正,違反執行通知者最高可判罰款5萬元及監禁兩年,加每日罰款1000元;重犯者最高可被判罰款10萬元及監禁兩年,加每日罰款2000元。

私隱專員公署回覆表示,一直與政府緊密合作,審視《私隱條例》及制定具體的修例建議,當中亦包括研究設立強制性個人資料外洩通報機制、引入行政罰款機制及加強《私隱條例》下的罰則。私隱專員公署會繼續參考其他司法管轄區的相關法例,同時考慮香港的實際情況,擬訂切實可行的修例建議以加強保障個人資料私隱。

吳傑莊。(盧翊銘攝)

吳傑莊:立法即時懲處需社會共識

立法會保安事務委員成員吳傑莊表示,數碼港外洩資料涉及員工敏感資料,反映網絡安全意識不足,事件非常嚴重,認為政府有需要加強監管資料管理人,一旦資料外洩可以有機制及行動處理,至於是否需要仿傚外地,當出現事故就即時懲處,他認為需要社會共識。

他又指,黑客會四圍「搵食」,估計本港不只數碼港受到勒索,相信立法會相關的委員會將會討論事件,「唔係指責完黑客就算,係要有應變方案」。

孫東:香港法律可「起到作用」嚴懲

創新科技及工業局局長孫東今日在另一場合時,被問到現時本港沒有針對資料洩漏的懲罰條例,他只重申網絡犯罪與其他現有的罪行都屬於「犯罪行為」,強調香港相關的法律「是可以起到作用,這點請市民不要擔心,一旦我們調查清楚,一定會進行法律上的嚴懲。」