數碼港電腦系統去年8月遭黑客入侵,導致逾1.3萬人個人資料外洩。個人資料私隱專員公署日前公布事故調查報告,指事故因5項缺失所導致,包括資訊系統欠缺有效偵測措施、未有為遠端存取資料啟用多重認證功能、對資訊系統進行的保安審計不足、資訊保安政策有欠具體,以及個人資料被不必要地保留。公署同時裁定數碼港違反私隱條例規定,並建議數碼港設立個人資料私隱管理系統,委任保障資料主任,適時對系統進行風險評估,以及適時刪除個人資料,防止類似違規再次發生等。
公署表示已向數碼港送達執行通知,要求5月底前更正違規事項。私隱專員鍾麗玲指,數碼港是一間具規模的機構,持有並處理大量人士的個人資料,公眾會合理地期望數碼港投入足夠資源,確保其資訊系統及數據的安全。而數碼港沒有採取所有切實可行的步驟,確保涉事個人資料受保障而不受未獲准許或意外的查閱、處理、刪除、喪失或使用所影響,違反《私隱條例》保障資料原則下有關個人資料保安的規定,而在保留個人資料亦違反相關規定,故已向數碼港送達執行通知。
鍾麗玲又稱,數碼港只設一款反惡意軟件,而且對於遠端操作未有作多重認證,作為一所存有大量個人資料的機構明顯不足,提到機構不必要地保留個人資料,導致受影響人數大增。鍾解釋,事件中約有4成受影響人士、即逾5200人是求職者或是已離職僱員,而根據數碼港資料保留政策,只保留求職者資料1年,僱員資料則於相關人士在職時才會保留,但調查發現部分資料遠於2016年保留至今,數碼港亦未能解釋為何未按政策刪除資料。
數碼港董事、網絡安全事件專責小組主席伍志強表示,自事件發生以來,專責小組與管理層積極審視及即時跟進,快速增強網絡及數據防護屏障,有效防範後續的網絡入侵攻擊,並致力支援受影響人士,盡力減低潛在影響,以及全面配合有關部門與私隱專員公署的調查。數碼港亦會加強內部審查,定期檢視執行資訊保安措施的情況,並向董事局轄下的審計委員會匯報,提升相關管治水平。
數碼港去年向公署通報資料外洩事故,指其電腦系統和檔案伺服器被勒索軟件攻擊和惡意加密,事故導致逾萬人的個人資料外洩。私隱專員公署調查後發現,有13632名員工和求職者的個人資料遭洩漏,當中包括5292名求職者的個人資料,部份超過法例容許的保留期限。涉及的個人資料包括姓名、身份證號碼、身份證的副本、護照號碼,亦有部分人士的財務資料,例如銀行帳戶號碼、醫療報告、照片、僱傭資料,亦有部分人的信用卡資料。
