南華體育會(南華會)於今年3月發生資料外洩,事故中有逾7萬名會員資料遭外洩,包括姓名、身份證號碼、電話號碼、相片及地址等。私隱專員公署今(22日)發表關於南華會伺服器遭勒索軟件攻擊的調查結果。公署對是次事故感到非常失望,認為是可避免的。又指南華會資訊保安意識薄弱,未能採取有效的資訊系統保安措施,裁定南華會違反《個人資料私隱條例》,已向南華會已傳達執行通知,要求改正違規事項。
【新聞有價 記者有格 立即訂閱:https://bit.ly/3wGQh7c】
公署表示經調查後,黑客早在2022年1月,已在南華會一台與互聯網連接的伺服器內,安裝惡意程式。直至今年3月入侵南華會網絡,安裝遠端控制軟件,展開暴力攻擊。逾兩年多期間,黑客最終於今年3月中,透過勒索軟件把載有會員個人資料的檔案加密,並要求南華會支付贖金,事故涉及8台伺服器、1台數據儲存器及18部電腦。
公署已向南華會傳達執行通知,私隱專員鍾麗玲指出,南華會在事件中有6項缺失導致事件發生,包括相關伺服器被意外地曝露於互聯網、資訊系統欠缺有效偵測措施、南華會方面沒有為管理員賬戶啟用多重認證功能、南華會欠缺資訊保安政策及指引、沒有定期進行風險評估及保安審計,以及欠缺離線數據備份方案。
公署要求南華會每年至少審視一次個人資料系統連結互聯網的必要性,定期檢視及更新偵測及警示工具,聘請獨立資訊保安專家每年進行風險評估及保安審計,而南華會須於2個月內提交改善措施的證明文件。
鍾麗玲又指,留意到近年涉及學校及非牟利機構的資料外洩事故出現上升趨勢,由2022年接獲25宗外洩通報,至今年首三季已接獲51 宗,上升近一倍半。公署表示,學校及非牟利機構不能掉以輕心,應投放足夠資源以提升資料保安措施,從而減低資料外洩及遭黑客攻擊的風險。
另外,為配合早前《施政報告》中有關加強網絡安全的方針,公署今日推出「數據安全」套餐,機構可免費參加,以評估其數據安全措施是否足夠。公署亦推出「數據安全」專題網頁及「數據安全」熱線,以提供相關資訊及協助。
