數碼港於去年8月遭黑客入侵,導致大批資料被盜。個人資料私隱專員公署昨(2日)指,數碼港在本次事故中存在五大缺失,包括資訊系統欠缺有效偵測措施;沒有為遠端存取資料啟用多重認證功能;資訊系統保安審計不足;資訊保安政策欠具體,沒有網絡保安框架供員工依循;以及不必要地保留個人資料。最終導致逾1.3萬人的個人資料外洩,當中約40%為求職者及已離職僱員。
受影響的人士亦包括數碼港管理人員、酒店職員、資助計劃實習生,以及與數碼港有業務往來的人士。除了姓名、身份證號碼、護照號碼、聯絡資料等基本個人資料外,部分人士的財務資料、健康資料、照片、社交媒體賬戶資料等相對較私隱的資料亦被黑客外洩。
私隱專員公署認為,數碼港的資訊系統欠缺有效偵測措施。事發時數碼港只依賴一款反惡意軟體程式偵測異常活動,而且未有啟用多重認證功能,導致公司未能有效偵測到黑客攻擊其資訊系統,並成功取得具管理員權限的賬戶憑證。該公署亦指,數碼港每兩年對資料系統進行保安審計,對上一次審計於2021年年底進行,保安審計頻率明顯不足,同時資訊保安政策欠具體。因此敦促數碼港需於兩個月內採取措施,並糾正違規情況。(js/k)
~
阿思達克財經新聞
網址: www.aastocks.com