南華會逾7.2萬會員資料外洩,私隱公署批保障意識薄弱促糾正

　　《經濟通通訊社22日專訊》南華體育會今年3月遭黑客入侵,逾7.2萬人個人資料外洩。私隱專員鍾麗玲表示,南華會對保障所持有的會員個人資料意識薄弱,對於南華會事前未能採取有效資訊系統保安措施,感到非常失望,裁定南華會違反《個人資料私隱條例》,已向南華會送達執行通知,要求糾正。

　　據私隱專員公署調查,黑客於2022年1月在南華會一台與互聯網連接的伺服器安裝惡意程式,至今年3月透過潛伏在相關伺服器內的惡意程式入侵該會網絡,並安裝遠端控制軟件。隨後透過遠端存取,設立具管理員權限的帳戶,停用防毒及反惡意軟件功能,並展開Trigona變種勒索軟件攻擊,令南華會8台伺服器、1台數據儲存器及18台電腦被攻擊及加密,涉72315人的個人資料包括姓名、身份證號碼等。

*事故涉欠有效偵測措施等6大缺失*

　　鍾麗玲指出,南華會在事件中有6項缺失導致事件發生,包括相關伺服器被意外地曝露於互聯網、資訊系統欠缺有效偵測措施、南華會方面沒有為管理員帳戶啟用多重認證功能、南華會欠缺資訊保安政策及指引、沒有定期進行風險評估及保安審計,以及欠缺離線數據備份方案。

　　公署要求南華會每年至少審視一次個人資料系統連結互聯網的必要性,定期檢視及更新偵測及警示工具,聘請獨立資訊保安專家每年進行風險評估及保安審計,而南華會須於2個月內提交

改善措施的證明文件。(bi)