個人資料私隱專員公署發表調查報告,公布對又一村花園俱樂部(Yau Yat Chuen Garden Club)個人資料外洩事件的調查結果。報告指出,該俱樂部的管理系統遭勒索軟件攻擊,系統內的文件被加密,事件共影響9,045名人士的個人資料,私隱專員裁定俱樂部違反《個人資料(私隱)條例》,並已向俱樂部發出執行通知,要求採取糾正措施防止同類事件再次發生。
外洩資料種類廣泛
是次外洩的個人資料種類相當廣泛,包括受影響人士的姓名、香港身份證號碼及╱或護照號碼、出生日期、電郵地址、聯絡電話號碼及住址等高度敏感的個人資訊。私隱專員鍾麗玲對事件表示失望,強調俱樂部作為資料使用者,有責任採取一切切實可行的步驟保護其所持有的個人資料。
多項保安漏洞釀禍
調查報告揭示,俱樂部的資訊保安措施存在多個嚴重漏洞,是導致事件發生的根本原因,包括:資訊保安組織架構薄弱、使用存在已知漏洞的過時遠端存取軟件、遠端存取功能欠缺適當的用戶身份驗證機制,以及防毒及防火牆軟件未有及時更新等。此外,俱樂部的資料保留政策亦過於寬鬆,調查發現系統中仍保存逾800名前會員及約3,000名附屬卡持有人超過七年的個人資料,違反了「只保留必要資料」的原則。
企業須正視網絡安全責任
是次事件再次突顯本港機構在網絡安全及個人資料保護方面的不足。私隱公署提醒所有機構,必須定期審視及更新資訊保安措施,確保使用的軟件及系統及時修補已知漏洞,並嚴格執行最低權限及資料最小化原則,切實履行保護個人資料的法定責任。
機構應如何加強防護
私隱公署就是次事件向各機構提出多項建議,包括:定期委託獨立專家進行網絡安全評估及滲透測試;確保所有對外開放的系統均設有多重身份驗證,尤其是遠端存取功能;為系統軟件及防毒程式設定自動更新機制;以及制訂明確的資料保留政策,定期清除不再需要的個人資料。面對勒索軟件攻擊日趨頻繁及精密,各機構應視網絡安全為日常運營的核心責任,而非可以輕視的額外開支。