关闭

展开

职位空缺

招标资料

联络我们

航空公司洩私隐 企业借鑑减风险

要数这个星期的全城热话,相信大家都会想到本地一家航空公司的电脑保安事故,全球约940万名乘客的个人资料,包括姓名、出生日期、电话号码、地址、证件号码等,曾在未经授权下被取阅,影响非常广泛。

航空公司在今年3月发现事件之后,未有适时披露和通报,可能触犯了今年5月25日生效的欧盟《通用数据保障条例》(GDPR),有机会面临高达39亿港元的巨额罚款。根据欧盟GDPR规定,企业应在得悉事件后72小时内通报,否则可被罸款2,000万欧元或全球营业额4%,以较高者为准。除此之外,公司亦有机会遭事主民事索偿,商誉和经济损失难以估计。

企业应加强保障数据和资讯系统的安全,提高警惕,降低风险,否则若发生未经授权取用资料和数据洩漏等安全事故,企业将难以安枕。建议的防御措施包括:

  • 推行数据保护政策,分类处理机密和敏感资料,加以监控;
  • 把企业内联网和互联网分开设置在不同的网络系统,避免把数据库伺服器直接连结至互联网;
  • 定期扫瞄网站或网上应用(例如电子商贸、网上支付等)程式,找出保安漏洞,尽快安装修补程式。
  • 採用多重认证,保障网络或云端应用的安全;
  • 考虑在网络基建添置预防数据遗失(Data Loss Prevention, DLP)的设备;
  • 定期监察网络流量的异常状况,收集可疑的保安或警报资料,通报异常情况或潜在安全漏洞。

至于受影响的市民,可浏览航空公司网站查阅更多资讯,留意信用卡交易纪录,并确认信用卡交易的电话短讯或来电通知,如有怀疑应立即向银行查询。最后,市民应慎防伪冒该公司名称或个人资料的诈骗电子邮件,避免误中钓鱼攻击。

企业或公众欲了解更多改善网络保安的方法,请浏览香港电脑保安事协调中心网站:www.hkcert.org。