【Now新聞台】南華會今年初發生大批會員資料外洩事故,個人資料私隱專員公署調查事故後,發現南華會有六項缺失,又批評該會保障會員的個人資料意識薄弱,裁定違反私隱條例有關個人資料保安規定。
南華會七個月前,向個人資料私隱專員公署通報資料外洩事故。公署公布調查結果,黑客在兩年前已在南華會一台與互聯網連結的伺服器內安裝惡意程式,到今年3月入侵南華會網絡及安裝遠端控制軟件,最後透過勒索軟件將會員資料加密,涉及資料包括姓名、身份證號碼、相片等。
私隱署認為南華會在事故中有六項缺失,包括相關伺服器意外地曝露於互聯網,受攻擊風險大增、資訊系統欠缺有效偵測措施,令黑客曾嘗試超過4萬次登入亦沒有鎖定帳戶等。
私隱專員對南華會未能採取有效的資訊管理保安措施保障個人資料安全,感到非常失望。
個人資料私隱專員鍾麗玲:「如果南華會在2022年、即事發前兩年,在黑客最初入侵其系統時,有足夠偵測措施或警示工具來監察相關伺服器不尋常活動,南華會有相當機會在黑客入侵初期察覺其惡意活動,並採取適當措施。」
公署發出執行通知,要求南華會糾正,包括制訂政策及措施,並每年進行最少一次審視、定期檢視及更新偵測及警示工具,並實施多重身份認證等。
公署又發現近年針對學校及非牟利機構的個案趨升,去年有61宗,佔整體約39%,較2022年上升近一倍,而今年首三季已有51宗,呼籲學校和機構不要掉以輕心,應投放足夠資源提升資料保安措施。
