报章专栏

香港及世界各地的网络攻击
在现今的数码时代，世界各地越来越多机构将它们的营运及业务活动转移至网上进行，范围涵盖电子商务、数码银行及电子医疗等。不少机构已由纸本工作流程转型至电子化营运及使用云端储存，在日常运作上应用不同的数码工具以提高效率及改善顾客体验。然而，在机构享受科技发展所带来的好处时，骇客等恶意分子亦正在数码世界伺机而动，利用资讯系统的漏洞入侵机构的网络并策划犯罪行动。
 
网络攻击在过往一年并没有减弱的迹象。纵观全球，由众多报道可见网络攻击发生于不同行业，包括医疗、供应链、云端服务等，引起大众对于网络安全及机构持有的资料安全的关注。
 
在香港，个人资料私隐专员公署（私隐专员公署）于2024年接获203宗资料外洩事故通报，较2023年的157宗增加近三成。另外，公署于2024年进行的一项调查显示，近七成的受访企业在过去12个月曾遇到至少一类网络攻击，包括钓鱼攻击、勒索软件攻击及凭证外洩或失窃事故，可见网络攻击并非零星个案，而是真正的肘腋之患。
 
保障数据安全的责任
网络攻击的后果不容小觑。网络攻击不但有机会令机构因业务营运受阻而导致财务损失，还可能对机构的声誉造成不可逆转的伤害，因而令顾客失去信心及导致流失商机。
 
由于骇客在发动网络攻击时有机会查阅到储存在机构资讯系统的个人资料，个人资料私隐也可能因而受到侵犯。骇客亦可能会要求机构缴交赎金，否则会披露或加密该些个人资料。然而，即使机构缴交赎金，一旦资料外洩至未获授权人士，其实没有办法确保对方会彻底删除这些资料。
 
机构作为资料使用者，应留意它们有法律责任确保所持有的个人资料的安全。特别是《个人资料（私隐）条例》附表1的保障资料原则订明，机构须采取所有切实可行的步骤，以确保 (i) 它们持有的个人资料的保存时间不超过贯彻该资料的使用目的所需的时间（保障资料第2(2)原则）及 (ii) 该个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响，机构尤其须考虑该个人资料的种类及外洩事故发生能做成的损害等因素（保障资料第4(1)原则）。
 
积极筑起网络安全防线
在数码时代，网络空间是保障国家安全和推动经济及社会发展的关键领域。虽然网上平台、资讯系统及形形色色的应用程式（包括网上购物平台、社交媒体平台、娱乐、会籍或预订应用程式）大行其道带来无限商机与便利，但使用这些科技的同时亦会对个人资料私隐带来明显的风险，如果涉及关键基础设施，亦可能会影响主要公共服务的运作。
 
2024年7月，CrowdStrike事故导致全球约850万个操作系统失灵，令世界各地不少重要服务受阻。在相若时间，某个国际性慈善组织在香港的分支的资讯系统遭受勒索软件攻击，影响该慈善组织共37台伺服器及24台工作电脑或手提电脑，以及包括捐款者、义工、项目夥伴及参与者、僱员及求职者在内约550,000名人士的个人资料。
 
因此，机构不能再对潜藏的网络风险视而不见，而是应该未雨绸缪，防御网络攻击。机构应该订定全面计划，透过实施妥善的网络保安措施，例如定期审视机构资讯系统的安全设定、确保在技术上及操作上已采取适当的保安措施，以防范网络威胁。另一方面，提高僱员的意识及加强培训同样重要，因为僱员只要点击一下钓鱼连结，就可以危及整个资讯系统。
 
为协助机构加强保障网络安全的能力，私隐专员公署推出了一系列的措施，包括举办讲座及工作坊；设立一站式「数据安全」专题网页，提供各种与数据安全相关的资源；以及推出「数据安全快测」及热线（2110 1155）。我在此鼓励机构善用这些资源，主动加强对网络攻击的防御。
 
科技发展一日千里，机构必须时刻准备就绪，应对不断演变的网络安全挑战。保障网络安全绝不是一蹴而就的，而是需要大家适时、主动、持续及众志成城地采取行动。