政府命各部門檢視數據安全 數碼港洩資料 避免重蹈覆轍
原文刊於信報財經新聞
數碼港遭黑客入侵導致資料外洩,事件牽連甚廣。創新科技及工業局局長孫東表示,政府資訊科技總監辦公室(資科辦)已經向政府各部門及所屬的公營機構發出電郵,指示各部門立即檢討現有存放數據系統的安全程度,要從數碼港今次事件中汲取教訓,避免同類事件再次發生。
孫東:文件儲存系統受攻擊
數碼港有逾400GB的數據遭黑客盜取,除機構文件外,還包含大量員工個人資料,這些資料已在暗網流出。孫東昨日出席活動後接受訪問時透露,已聽取數碼港滙報今次事件,受攻擊的是部門的文件儲存系統,已指示數碼港全面提升網絡系統和敏感數據文件的保護,堵塞漏洞。他強烈譴責相關網絡罪行。
數碼港董事楊全盛向本地傳媒解釋,外洩的資料主要存放在共享硬碟,需要調查為何共享硬碟會有敏感資料,如涉人為過失須嚴懲。數碼港管理層將向董事會交代事件詳情,不過向黑客繳交「贖金」一直不在討論之列。
電腦安全研究員賴灼東指出,勒索軟件Trigona主要是攻擊科技公司,包括利用多年前的設定和已經出現較長時間的漏洞。他認為,「很明顯今次不是因為員工疏忽或者缺乏培訓而點擊了釣魚網站然後被入侵,真是一個服務器管理層長期疏忽。這個管理層長期疏忽,就要想想究竟如何做好安全措施。」
賴灼東建議,數碼港現時應該把有問題的互聯網服務器下架,亦應向受影響的員工或人士作出賠償。根據外國案例,如果發生這類事件,相關機構會向受影響人士賠償1000至4000美元不等。
私隱署暫接11宗查詢
個人資料私隱專員公署稱,於8月18日收到數碼港的資料外洩事故通報,公署已根據既定程序就事件展開循規審查,並建議有關機構盡快通知受影響人士。考慮到事故涉及個人資料外洩,私隱專員公署已設立熱線,呼籲受影響人士若懷疑個人資料被外洩,可向公署或相關機構作出查詢或投訴。截至昨天(13日),私隱專員公署共接獲11宗相關查詢。
資科辦於周二(12日)晚向政府各部門發出的電郵提到,為降低勒索軟件攻擊的風險,建議系統管理員和用戶採取一定措施進行預防及減輕影響,例如系統管理員應僅儲存營運所需的核心數據,用戶須避免打開可疑的電子訊息,各部門也應遵循安全要求,一旦發現資訊保安事故,須在60分鐘內向政府資訊保安事故應變辦事處通報。