中评社北京2月10日电/据大公报报导,信息安全关乎市民的个人私隐,香港银行学会早前发生逾11万人资料外泄事故,涉及1.3万名会员和约10万名非会员的个人资料,包括联络资料、身份证号码、信用卡号码等。私隐专员公署完成调查后,认为学会未有采取可行步骤保障资料,在保养关键网络设备上过于宽松,要求学会两个月内执行通知指示,以纠正及防止违规情况再发生。
香港银行学会2018年安装和启用一台防火墙,翌年5月防火墙生产商在网站发出保安建议,指留意到有黑客披露其作业系统漏洞,攻击者可通过相关漏洞,绕过保安限制直接取得“保密插口层虚拟私有网络(SSL VPN)”账户名称及密码,并可于目标系统执行任何程式,呼吁用家立即停用相关功能,并建议启用多重认证。
欠缺保安风险管理机制
时至2021年1月,学会因应新冠疫情推行在家工作安排,遂启用该防火墙的SSL VPN功能,让部分有需要员工在家工作期间遥距登入系统,惟事前未曾修补该相关漏洞。同年12月30日,前线职员发现6部伺服器无法正常存取,其后更发现学会的电脑及备份数据同样遭勒索软件加密。
事件合共影响超过13000名会员及约10万名非会员的个人资料,当中涉及的个人资料除了姓名、联络资料、雇主名称及职位外,部分人士的身份证号码、信用卡号码、出生日期、专业认证详情及考试结果亦受影响。
署理首席个人资料主任(合规及查询)郭正熙指出,学会欠缺有效的资料保安风险管理机制,在保养关键的网络设备上对服务提供者采取宽松态度,导致载有个人资料的资讯系统的保安措施无法有效应对网络安全风险和威胁。
私隐专员锺丽玲认为,学会在资料保安风险意识及个人资料保安措施方面存在三项明显不足,包括资料保安风险管理欠佳,资料系统管理有欠妥善,亦未适时启用多重认证功能,违反《私隐条例》有关个人资料保安的规定。私隐专员已向学会送达执行通知,要求提升资讯科技保安系统,并于两个月内提交报告,防止有关违规情况再发生。
去年105宗外泄影响百万人
|
