欧盟私隐严规法力无彊界 港企个人资料保安要做足

被称为全球现时最严厉的私隐保障及安全法规，欧盟《一般资料保护规则 》(GDPR) 已实施超过一年。此规则旨在为个人资料的存储和处理提供更好的保障，但仍然有许多公司未有对此严格遵守，当中包括欧洲以外的知名公司。

例如，美国酒店连锁巨头万豪国际集团 （Marriott International）因骇客盗取了3.83亿条客人订房记录，结果要面对1.25亿美元的巨额罚款；谷歌亦因其用户意见征求政策，以及未对使用用户信息进行足够监管，而被罚款5,680万美元。

尽管以上案件备受瞩目，全球任何机构在针对或收集与欧盟成员国家人民有关的资料的行为上，亦必须严格遵守GDPR，但香港一些公司仍然以为这法规与其业务运作无关。事实上，欧盟是香港的第二大的贸易伙伴，排名仅次于中国内地；在香港，市面上更有逾2,200家来自欧盟国家的公司正在进行业务。

为帮助本地企业遵守GDPR，香港电脑保安事故协调中心(HKCERT)已经找出可造成资料外洩的四种主要网络攻击，若採取适当的保安措施，便可以减低其影响。这些攻击包括：

• 网络钓鱼攻击：网络钓鱼是最常见的攻击手法之一，有很高的骗取用户凭证成功率。因此，应定期进行用户意识培训，以保持工作人员对可疑网站和电子邮件的高度警惕。
• 利用系统漏洞攻击：实施计划周全的修补程式更新管理，包括修补程式更新週期，例如在推出到生产环境之前在预备环境进行「用户接受度测试」（UAT），以及订立针对终止支援的系统的适当退出计划，对防止攻击者通过旧版或未进行修补程式更新的系统损害公司网络，尤关重要。若企业因一些实际的理由而无法替代旧版系统，便需要一层额外的保护(即防火墙)来控制和监视对它的访问。
• 来自不可信的网路的攻击：一旦员工试图通过公开的网络（例如互联网或公共wi-fi）进入公司网络，资料外洩的风险就会大大增加，例如设备丢失、会话劫持等，所以必须应用严格的身份验证，例如双重验证、使用VPN连接和实行资料保护政策。
• 内部人员攻击：内部威胁是企业间谍活动中最严重的威胁之一。此情况下，大多数先进的安全技术不能再被採用，因此只能透过深入防御来解决，例如使用内部防火墙、网络分段、对网络和物理访问的角色为本控制以及提高用户意识等必不可少的防御措施。

总而言之，香港的企业必须认识到，在一个外向型经济体和国际城市中经营业务，他们无法不受GDPR的约束。不论是进出口贸易、银行和金融、旅游和酒店业、甚至物业管理和教育等行业，都必须採取一切措施把资料外洩的威胁减到最少，否则只会成为下一个遭GDPR处以巨额罚款的「受害者」。

企业或公众欲了解更多改善网络保安的方法，请浏览HKCERT网站：www.hkcert.org，亦可选择致电热线 (852) 8105 6060或电邮至hkcert@hkcert.org联络HKCERT。