航空公司洩私隱 企業借鑑減風險

要數這個星期的全城熱話，相信大家都會想到本地一家航空公司的電腦保安事故，全球約940萬名乘客的個人資料，包括姓名、出生日期、電話號碼、地址、證件號碼等，曾在未經授權下被取閱，影響非常廣泛。

航空公司在今年3月發現事件之後，未有適時披露和通報，可能觸犯了今年5月25日生效的歐盟《通用數據保障條例》（GDPR），有機會面臨高達39億港元的巨額罰款。根據歐盟GDPR規定，企業應在得悉事件後72小時內通報，否則可被罸款2,000萬歐元或全球營業額4%，以較高者為準。除此之外，公司亦有機會遭事主民事索償，商譽和經濟損失難以估計。

企業應加強保障數據和資訊系統的安全，提高警惕，降低風險，否則若發生未經授權取用資料和數據洩漏等安全事故，企業將難以安枕。建議的防禦措施包括：

• 推行數據保護政策，分類處理機密和敏感資料，加以監控；
• 把企業內聯網和互聯網分開設置在不同的網絡系統，避免把數據庫伺服器直接連結至互聯網；
• 定期掃瞄網站或網上應用（例如電子商貿、網上支付等）程式，找出保安漏洞，儘快安裝修補程式。
• 採用多重認證，保障網絡或雲端應用的安全；
• 考慮在網絡基建添置預防數據遺失（Data Loss Prevention, DLP）的設備；
• 定期監察網絡流量的異常狀況，收集可疑的保安或警報資料，通報異常情況或潛在安全漏洞。

至於受影響的市民，可瀏覽航空公司網站查閱更多資訊，留意信用卡交易紀錄，並確認信用卡交易的電話短訊或來電通知，如有懷疑應立即向銀行查詢。最後，市民應慎防偽冒該公司名稱或個人資料的詐騙電子郵件，避免誤中釣魚攻擊。

企業或公眾欲了解更多改善網絡保安的方法，請瀏覽香港電腦保安事協調中心網站：www.hkcert.org。