中評社北京2月10日電/據大公報報導,信息安全關乎市民的個人私隱,香港銀行學會早前發生逾11萬人資料外洩事故,涉及1.3萬名會員和約10萬名非會員的個人資料,包括聯絡資料、身份證號碼、信用卡號碼等。私隱專員公署完成調查後,認為學會未有採取可行步驟保障資料,在保養關鍵網絡設備上過於寬鬆,要求學會兩個月內執行通知指示,以糾正及防止違規情況再發生。
香港銀行學會2018年安裝和啟用一台防火墻,翌年5月防火墻生產商在網站發出保安建議,指留意到有黑客披露其作業系統漏洞,攻擊者可通過相關漏洞,繞過保安限制直接取得“保密插口層虛擬私有網絡(SSL VPN)”賬戶名稱及密碼,並可於目標系統執行任何程式,呼籲用家立即停用相關功能,並建議啟用多重認證。
欠缺保安風險管理機制
時至2021年1月,學會因應新冠疫情推行在家工作安排,遂啟用該防火墻的SSL VPN功能,讓部分有需要員工在家工作期間遙距登入系統,惟事前未曾修補該相關漏洞。同年12月30日,前線職員發現6部伺服器無法正常存取,其後更發現學會的電腦及備份數據同樣遭勒索軟件加密。
事件合共影響超過13000名會員及約10萬名非會員的個人資料,當中涉及的個人資料除了姓名、聯絡資料、雇主名稱及職位外,部分人士的身份證號碼、信用卡號碼、出生日期、專業認證詳情及考試結果亦受影響。
署理首席個人資料主任(合規及查詢)郭正熙指出,學會欠缺有效的資料保安風險管理機制,在保養關鍵的網絡設備上對服務提供者採取寬鬆態度,導致載有個人資料的資訊系統的保安措施無法有效應對網絡安全風險和威脅。
私隱專員鍾麗玲認為,學會在資料保安風險意識及個人資料保安措施方面存在三項明顯不足,包括資料保安風險管理欠佳,資料系統管理有欠妥善,亦未適時啟用多重認證功能,違反《私隱條例》有關個人資料保安的規定。私隱專員已向學會送達執行通知,要求提升資訊科技保安系統,並於兩個月內提交報告,防止有關違規情況再發生。
去年105宗外洩影響百萬人
|
