隨著數碼化的蓬勃發展,網絡攻擊已成為大多數企業(尤其是提供線上服務和產品的企業)所面臨的主要風險之一。網絡攻擊可以導致財務損失、聲譽受損、監管處罰和其他損害。無論規模大小,機構均可能隨時受到黑客的攻擊。
舉例而言,國泰航空有限公司(國泰航空)在2018年10月發生的資料外洩事故記憶猶新,當中涉及外部人士未獲授權查閱國泰航空的伺服器,影響全球約940萬名乘客。該事故不僅損害了國泰航空多年來建立的商譽,亦導致重大的財務損失。當時個人資料私隱專員公署(私隱公署)曾展開調查,並認為國泰航空違反了《個人資料(私隱)條例》(第486章)(《私隱條例》)的規定。此外,國泰航空亦在2020年被英國資訊專員辦公室罰款50萬英鎊,並在2021年支付155萬加元以就加拿大一宗集體訴訟達成和解。
網絡攻擊事故的上升趨勢
事實上,當國泰航空事故被廣泛報導時,已經響起了警號。近年來,個人資料在互聯網上外洩已成為用戶所面對的前所未有的風險,而資料外洩的宗數亦不斷上升。Sophos Labs的一項年度全球研究訪問了31個國家/地區中型機構的5,600名資訊科技專業人員,結果顯示勒索軟件攻擊持續增加,並且變得更加複雜。該研究亦顯示,在2021年全球66%的機構曾遭受勒索軟件攻擊,較2020年高出了29%。
從私隱公署處理的資料外洩事故中,也觀察到類似的趨勢。在2019年和2020年,涉及勒索軟件攻擊的網絡攻擊事故,約佔接報的資料外洩事故的四分之一。這個比例去年上升至29%,而超過60萬名香港市民亦受到各種網絡保安事故影響。
資料外洩的常見原因
資料外洩可能由技術漏洞或人為疏忽造成。本文將重點關注技術風險,其中用戶使用低強度密碼、網絡釣魚、未修補漏洞、過時的操作系統和軟件應用程式以及植入的惡意軟件,是資料外洩事故的一些常見原因。
從私隱公署處理的事故中,我們注意到網絡釣魚和未修補的漏洞是資料外洩兩個最常見的原因。我們在這方面的觀察與香港電腦保安事故協調中心最近公布的2021年報的統計數據一致。該報告指出,網絡釣魚(佔整體案例48%)是該中心2021年處理的保安事故的主要原因。
公署近年來進行的兩次調查,也反映了這個現象。在國泰航空的案例中,我們認為,造成資料外洩事故的因素之一,是國泰航空未能識別廣為人知的資訊保安漏洞,並採取合理可行的措施來保障其伺服器的安全,令人可乘機入侵其伺服器。在另一宗有關傳媒機構日經中國(香港)有限公司電郵系統遭入侵的案件中,私隱公署發現電郵系統受到攻擊的原因之一,可能是相關用戶密碼因網絡釣魚攻擊而外洩。
《私隱條例》的相關規定
《私隱條例》附表1的保障資料第4(1)原則規定資料使用者須採取所有切實可行的步驟,以確保由資料使用者持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,尤其須考慮:
(a) 該資料的種類及如該等事情發生便能做成的損害;
(b) 儲存該資料的地點;
(c) 儲存該資料的設備所包含(不論是藉自動化方法或其他方法)的保安措施;
(d) 為確保能查閱該資料的人的良好操守、審慎態度及辦事能力而採取的措施;及
(e) 為確保在保安良好的情況下傳送該資料而採取的措施。
值得注意的是,保障資料第4(1)原則規定資料使用者有責任採取所有切實可行的步驟保障個人資料安全。資料使用者是否被視為已採取所有合理可行的步驟,將按個別情況進行審視。
私隱公署的資料保安措施指引
在此背景下,加上資料保安受關注的程度日漸提升,我們希望為香港的資料使用者提供一些切實可行的資料保安建議,以助他們理解和遵從《私隱條例》的相關規定。因此,私隱公署最近公布了《資訊及通訊科技的保安措施指引》(《指引》)。
《指引》就以下六個關鍵領域提供了建議:
資料管治和機構性措施
《指引》建議資料使用者制訂明確針對資料管治和資料保安的政策和程序,涵蓋個別員工在維護資訊及通訊系統的角色和責任、資料保安風險評估、外判資料處理及資料保安工作等範疇。在人手調配方面,《指引》建議資料使用者應委任合適的領導人員(例如首席資訊主任、首席私隱主任或同等人員)負責個人資料保安。工作人員應在入職時及往後定期接受足夠的培訓,以確保他們熟悉《私隱條例》的規定,以及資料使用者的資料保安政策及程序。
風險評估
資料使用者應在啟用新系統和新應用程式前,以及在啟用後定期根據既定的政策和程序進行資料保安風險評估。缺乏相關專業知識的中小企應考慮聘用第三方專家,以進行安全風險評估。風險評估的結果應定期向高級管理層匯報,而在風險評估中發現的保安風險應及時處理。
技術上及操作上的保安措施
《指引》建議資料使用者應根據資訊及通訊科技和資料處理活動的性質、規模、複雜性,以及風險評估的結果,採取足夠及有效的保安措施,以保護其控制或所持有的個人資料和資訊及通訊系統。《指引》為資料使用者建議了一系列技術上及操作上的保安措施,包括保護電腦網絡、資料庫管理、存取管控、資料匿名化和加密等。
資料處理者的管理
將處理個人資料的工作外判予承辦商的做法日益普遍。當中資料處理者的例子包括雲端服務和資料分析服務的供應商。根據《私隱條例》,資料使用者有責任採取合約規範方法或其他方法,保障轉移予資料處理者的個人資料的安全,《指引》就資料使用者在聘用資料處理者時可採取的措施提供了一系列的建議。
資料保安事故發生後的補救措施
資料使用者在資料保安事故發生後採取及時和有效的補救措施,將減低個人資料被未獲准許的或意外的查閱、處理或使用的風險,從而減輕對受影響人士可能造成的傷害。《指引》就資料使用者在發生資料保安事故時可採取的補救措施提供了一些常見例子。
監察、評估及改善
資料使用者可委派獨立的專責小組(例如內部或外部審計團隊)負責定期監察資料保安政策的遵從情況,以及定期評估資料保安措施的成效。《指引》建議,如發現違反政策的行為或保安措施成效不彰,應採取改善行動。
鑑於網絡攻擊的手段、形式和複雜程度快速演變,且社會對個人資料私隱的期望越來越高,資料保安將會是未來幾年的焦點。事實上,穩健的資料保安系統是良好資料管治的核心元素。我希望《指引》能幫助香港的機構和企業,尤其是中小企,加強資料保安系統,從而減低資料保安風險,並提升他們在數碼時代的競爭優勢。
《指引》輔以個案分析及圖表說明,除備有印刷本外,亦可在以下網址下載:https://www.pcpd.org.hk/chinese/resources_centre/publications/files/guidance_datasecurity_c.pdf 
