個人資料私隱專員公署今早(2日)發布有關數碼港資料外洩事故的調查報告,有自稱Trigona的黑客組織要求數碼港支付贖金,為已被加密的檔案解鎖。事件導致超過1.3萬名資料當事人的個人資料外洩,當中大約四成受影響人士為求職者及已離職僱員。數碼港回應指,高度重視有關事故,團隊於事件發生後隨即成立專責小組嚴肅跟進,包括迅速提升防範黑客攻擊的能力,採取多項措施包括鞏固網絡防護屏障,強化偵測網絡攻擊及入侵的能力,並成功堵截後續網絡攻擊;委託專業第三方定期進行網絡安全監測及道德黑客入侵測試;以及增加監察網絡安全的工具等,全力提升網絡安全保護能力。
民建聯立法會議員、立法會資訊科技及廣播事務委員會主席葛珮帆對調查結果及公署的建議表示讚同,她指事故中大量個人和企業數據及敏感資料被盜取,並被勒索,更有員工個人資料被公開,情況不能接受。葛珮帆提到,過去接連有公營機構發生網絡安全事故,政府必須嚴肅對待問題,應加強檢視網絡安全措施,及審視各政府部門及本地關鍵基礎設施的的網絡安全隱患。
葛珮帆建議政府各部門及本地關鍵基礎設施機構,應採納網絡防護紅隊演練(Red Team Exercise)措施,以補充傳統滲透測試在邊界防禦,以及人爲疏忽產生或系統部署缺陷方面的不足。透過演練採集公開信息、社交媒體、暗網等渠道的目標情報,融合信息安全專家的專業知識、攻防技巧以及黑客工具數據庫,對演練目標及其組織機構展開涵蓋本地、雲端以及混合雲等多種環境的入侵模擬。該演練還能有效驗證防守方(藍隊)的偵測與應變能力。
圖說:私隱專員鍾麗玲發表有關數碼港資料外洩事故的調查報告。(圖片由公署提供)