個(gè)人資料私隱專(zhuān)員公署今早(2日)發(fā)布有關(guān)數(shù)碼港資料外洩事故的調(diào)查報(bào)告,有自稱(chēng)Trigona的黑客組織要求數(shù)碼港支付贖金,為已被加密的檔案解鎖。事件導(dǎo)致超過(guò)1.3萬(wàn)名資料當(dāng)事人的個(gè)人資料外洩,當(dāng)中大約四成受影響人士為求職者及已離職僱員。數(shù)碼港回應(yīng)指,高度重視有關(guān)事故,團(tuán)隊(duì)於事件發(fā)生後隨即成立專(zhuān)責(zé)小組嚴(yán)肅跟進(jìn),包括迅速提升防範(fàn)黑客攻擊的能力,採(cǎi)取多項(xiàng)措施包括鞏固網(wǎng)絡(luò)防護(hù)屏障,強(qiáng)化偵測(cè)網(wǎng)絡(luò)攻擊及入侵的能力,並成功堵截後續(xù)網(wǎng)絡(luò)攻擊;委託專(zhuān)業(yè)第三方定期進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)及道德黑客入侵測(cè)試;以及增加監(jiān)察網(wǎng)絡(luò)安全的工具等,全力提升網(wǎng)絡(luò)安全保護(hù)能力。
民建聯(lián)立法會(huì)議員、立法會(huì)資訊科技及廣播事務(wù)委員會(huì)主席葛珮?lè)珜?duì)調(diào)查結(jié)果及公署的建議表示讚同,她指事故中大量個(gè)人和企業(yè)數(shù)據(jù)及敏感資料被盜取,並被勒索,更有員工個(gè)人資料被公開(kāi),情況不能接受。葛珮?lè)岬剑^(guò)去接連有公營(yíng)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事故,政府必須嚴(yán)肅對(duì)待問(wèn)題,應(yīng)加強(qiáng)檢視網(wǎng)絡(luò)安全措施,及審視各政府部門(mén)及本地關(guān)鍵基礎(chǔ)設(shè)施的的網(wǎng)絡(luò)安全隱患。
葛珮?lè)ㄗh政府各部門(mén)及本地關(guān)鍵基礎(chǔ)設(shè)施機(jī)構(gòu),應(yīng)採(cǎi)納網(wǎng)絡(luò)防護(hù)紅隊(duì)演練(Red Team Exercise)措施,以補(bǔ)充傳統(tǒng)滲透測(cè)試在邊界防禦,以及人爲(wèi)疏忽產(chǎn)生或系統(tǒng)部署缺陷方面的不足。透過(guò)演練採(cǎi)集公開(kāi)信息、社交媒體、暗網(wǎng)等渠道的目標(biāo)情報(bào),融合信息安全專(zhuān)家的專(zhuān)業(yè)知識(shí)、攻防技巧以及黑客工具數(shù)據(jù)庫(kù),對(duì)演練目標(biāo)及其組織機(jī)構(gòu)展開(kāi)涵蓋本地、雲(yún)端以及混合雲(yún)等多種環(huán)境的入侵模擬。該演練還能有效驗(yàn)證防守方(藍(lán)隊(duì))的偵測(cè)與應(yīng)變能力。
圖說(shuō):私隱專(zhuān)員鍾麗玲發(fā)表有關(guān)數(shù)碼港資料外洩事故的調(diào)查報(bào)告。(圖片由公署提供)