報章專欄

香港及世界各地的網絡攻擊
在現今的數碼時代，世界各地越來越多機構將它們的營運及業務活動轉移至網上進行，範圍涵蓋電子商務、數碼銀行及電子醫療等。不少機構已由紙本工作流程轉型至電子化營運及使用雲端儲存，在日常運作上應用不同的數碼工具以提高效率及改善顧客體驗。然而，在機構享受科技發展所帶來的好處時，駭客等惡意分子亦正在數碼世界伺機而動，利用資訊系統的漏洞入侵機構的網絡並策劃犯罪行動。
 
網絡攻擊在過往一年並沒有減弱的跡象。縱觀全球，由眾多報道可見網絡攻擊發生於不同行業，包括醫療、供應鏈、雲端服務等，引起大眾對於網絡安全及機構持有的資料安全的關注。
 
在香港，個人資料私隱專員公署（私隱專員公署）於2024年接獲203宗資料外洩事故通報，較2023年的157宗增加近三成。另外，公署於2024年進行的一項調查顯示，近七成的受訪企業在過去12個月曾遇到至少一類網絡攻擊，包括釣魚攻擊、勒索軟件攻擊及憑證外洩或失竊事故，可見網絡攻擊並非零星個案，而是真正的肘腋之患。
 
保障數據安全的責任
網絡攻擊的後果不容小覷。網絡攻擊不但有機會令機構因業務營運受阻而導致財務損失，還可能對機構的聲譽造成不可逆轉的傷害，因而令顧客失去信心及導致流失商機。
 
由於駭客在發動網絡攻擊時有機會查閱到儲存在機構資訊系統的個人資料，個人資料私隱也可能因而受到侵犯。駭客亦可能會要求機構繳交贖金，否則會披露或加密該些個人資料。然而，即使機構繳交贖金，一旦資料外洩至未獲授權人士，其實沒有辦法確保對方會徹底刪除這些資料。
 
機構作為資料使用者，應留意它們有法律責任確保所持有的個人資料的安全。特別是《個人資料（私隱）條例》附表1的保障資料原則訂明，機構須採取所有切實可行的步驟，以確保 (i) 它們持有的個人資料的保存時間不超過貫徹該資料的使用目的所需的時間（保障資料第2(2)原則）及 (ii) 該個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響，機構尤其須考慮該個人資料的種類及外洩事故發生能做成的損害等因素（保障資料第4(1)原則）。
 
積極築起網絡安全防線
在數碼時代，網絡空間是保障國家安全和推動經濟及社會發展的關鍵領域。雖然網上平台、資訊系統及形形色色的應用程式（包括網上購物平台、社交媒體平台、娛樂、會籍或預訂應用程式）大行其道帶來無限商機與便利，但使用這些科技的同時亦會對個人資料私隱帶來明顯的風險，如果涉及關鍵基礎設施，亦可能會影響主要公共服務的運作。
 
2024年7月，CrowdStrike事故導致全球約850萬個操作系統失靈，令世界各地不少重要服務受阻。在相若時間，某個國際性慈善組織在香港的分支的資訊系統遭受勒索軟件攻擊，影響該慈善組織共37台伺服器及24台工作電腦或手提電腦，以及包括捐款者、義工、項目夥伴及參與者、僱員及求職者在內約550,000名人士的個人資料。
 
因此，機構不能再對潛藏的網絡風險視而不見，而是應該未雨綢繆，防禦網絡攻擊。機構應該訂定全面計劃，透過實施妥善的網絡保安措施，例如定期審視機構資訊系統的安全設定、確保在技術上及操作上已採取適當的保安措施，以防範網絡威脅。另一方面，提高僱員的意識及加強培訓同樣重要，因為僱員只要點擊一下釣魚連結，就可以危及整個資訊系統。
 
為協助機構加強保障網絡安全的能力，私隱專員公署推出了一系列的措施，包括舉辦講座及工作坊；設立一站式「數據安全」專題網頁，提供各種與數據安全相關的資源；以及推出「數據安全快測」及熱線（2110 1155）。我在此鼓勵機構善用這些資源，主動加強對網絡攻擊的防禦。
 
科技發展一日千里，機構必須時刻準備就緒，應對不斷演變的網絡安全挑戰。保障網絡安全絕不是一蹴而就的，而是需要大家適時、主動、持續及眾志成城地採取行動。