【獨媒報導】私隱專員公署昨日公布數碼港資料外洩事件調查報告,批評數碼港有「五宗罪」導致洩漏發生,包括僅用一款偵測入侵軟件、未為遠端存取資料啟用多重認證功能,更不必要地保留個人資料,裁定違反《私隱條例》。電腦安全研究員賴灼東在電台節目表示,數碼港「唔係博物館」,無需要長時間保留求職者資料,應就事件向受害者賠償,否則影響香港整體形象。立法會議員邱達根表示,不少公司收集大量客戶私隱,卻意識不足,加上經濟差不願投放資源,黑客或認為「香港容易搵錢」,翻兜發動攻擊。
昨日公布的調查報告,提及事發原因是黑客透過暴力攻擊,成功登入一個擁有管理員權限的帳戶,並進入數碼港網絡,關閉唯一的反惡意軟件。
賴灼東今早在港台節目《千禧年代》解釋,只要有另一部電腦獨立監察登入系統,即使黑客透過管理員帳戶登入,都能偵測活動並發出提示,並向當值人員發出電郵或短訊提訊,例如「有人三更半夜登入」,而關閉反惡意程式是非常敏感的動作,該類可疑活動可以容易被監察。他指出如果是小型公司尚算情有可原,但數碼港作為大規模企業,只依賴一款反惡意式,是完全不達標準。
賴灼東(網上圖片)
估計數碼港用「跟機」免費反惡意程式
他相信數碼港或只使用「跟機」附送的反惡意程式,但坊間其他公司做法是使用專業攔截程式,它們可以偵測異常動作,網絡連接和資料庫有改動,程式都會對可疑活動攔截。
至於「雙重認證」功能,賴灼東強調非常重要,因為未必即時找到保安缺口,即使入侵者使用管理員帳戶,要進一步登入系統核心,須再輸入一次性密碼,才可為保安人員拖延時間,他形容如果沒有雙重認證,入侵的黑客可以「橫掃成個網」。
數碼港(民政署圖片)
大型公司每半年審計系統
另外,數碼港上一次系統審計已經是19個月前,賴灼東表示驚訝,其他擁有個人資料的公司,每半年或一年就會做安全測試,數碼港掌握過萬人士資料,審計次數不成比例,他強調安全測試「唔係交功課形式,黑客知悉漏洞後,很大機會發動第二、三次攻擊,而且技術更高階。
賴灼東認為數碼港是具標誌性公司,理應承認問題,向受害人主動作出賠償,他又批評數碼港不必要大量保留私隱資料,「你唔係博物館嚟架嘛」,但資料政策由管理層至前線都沒有執行,「唔可以淨係講聲sorry」,否則只會影響行業和香港整體形象。
邱達根指受害人不交贖金 黑客即放暗網套現
科技創新界立法會議員邱達根在商台《在晴朗的一天出發》表示,事件反映香港企業普遍對網絡安全意識不足,加上經濟差,願意花費於網絡安全的公司不多,他甚至相信只有很少公司啟用雙重認證功能。
邱達根(資料圖片)
他表示香港各式各樣公司都有收集客戶私隱資料,例如連鎖美容院擁有客戶信用卡、個人健康資料,但沒有留力聘請網絡安全專家,黑客或會認為「香港容易搵錢」,再三向香港不同企業發動攻擊,他指黑客可以要求受害人交贖金,即使對方拒絕,個人資料在「暗網」亦有價有市。他建議政府在下半年推出《關鍵基礎設施網絡安全保護條例》時,應將擁有一定個人私隱資料的機構,納入規管範圍,令相關機構加強網絡保安。