香港近期频发数据泄露事件,私隐专员公署呼吁企业加强数据安保
鉴于近日发生多宗企业信息系统遭网络攻击导致数据泄露事件,香港个人资料私隐专员公署(私隐专员公署)再次提醒企业加强数据安保措施的重要性(参阅私隐专员公署媒体声明请点击文末阅读原文),并强调企业必须遵守《个人资料(私隐)条例》(私隐条例)以及条例中保障数据的原则。当中根据保障数据*四原则,企业(作为数据控制者)必须采取所有切实可行的步骤以确保相关数据受保障,避免数据遭到未经授权或意外的查阅、处理、删除、丢失或使用。
香港近期数据泄露事件的概要:
香港数码港数据泄露事件——香港数码港是香港政府拥有的数码科技旗舰及创业培育基地。今年八月,香港数码港的网络遭受攻击,随后相应数据被黑客在”暗网“上进行拍卖,导致超过400GB的数据泄露,其中包括初创公司员工的个人数据及信用卡记录等。
香港消费者委员会数据泄露事件——继香港数码港数据泄露事件之后,香港消费者委员会的电脑系统在九月亦遭黑客入侵及勒索,导致部分系统遭受破坏。该数据泄露事件经初步评估涉及员工、前员工及求职者的香港身份证号码和住址、约8,000名月刊订阅者的信用卡资料、曾向香港消费者委员会投诉人士以及合作伙伴的资料等。
香港芭蕾舞团数据泄露事件——香港芭蕾舞团在十月中向私隐专员公署报告电脑网络系统遭勒索软体入侵导致数据遭非法读取。其中涉及的数据包括个人数据以及香港芭蕾舞团的内部资料。
香港邮政数据泄露事件——*新的一起数据泄露事件涉及香港邮政。私隐专员公署已就该事件启动程序展开调查,详情暂时未向公众透露。
就近日多起的数据泄露事件,私隐专员公署已发布媒体声明作出回应,重申企业(作为数据控制者)应定期进行数据安全风险评估,并提醒企业需考虑其数据处理活动的性质、规模和复杂性,采取充分有效的数据安全措施以保障数据安全。私隐专员公署强调,企业需要采取预防措施,以防范系统遭受恶意攻击。实际措施包括以下的建议:
1、确保电脑网络安全
2、定期对信息及通讯系统进行安保漏洞评估及渗透测试
3、实施应用程序修复与更新的管理,及时修复安保漏洞
4、对传输中及存储的数据采取加密措施
5、适当管理数据库,借助防火墙将数据库服务器与网络服务器进行区隔,确保数据库的安全
遵循“*小权限“原则,确保数据(尤其个人数据和敏感个人数据)的共享仅限于有必要知晓该数据的人员
确保个人数据的保存时间不超过实现收集该数据的目的所需的时间
企业应参考私隐专员公署对于数据安全发出的建议和指引,尤其是六月*新修订的《资料外泄事故的处理及通报指引》(指引)(请参考西盟斯数据观察 | 香港私隐公署更新《资料外泄事故的处理及通报指引》),以帮助企业更有效地应对网络安全的威胁及风险。
私隐专员公署在二月份向香港立法会提交的报告中,也提及私隐专员公署正与香港政府密切合作就私隐条例的立法修订制定具体建议,其中所提倡的修订就涉及设立强制性数据泄露通知机制,并引起企业的重点关注。我们的团队将密切关注*新的进展。
总结和要点
随着黑客网络攻击案例的增加,企业应保持警惕并确保采取有效的数据安全措施以保障数据安全。香港目前虽然并未实施强制性数据泄露通知机制,但我们也建议企业采取指引中提出的建议,确保企业有充分能力应对并处理任何数据泄露事件。(来源:西盟斯数据观察)
凤凰卫士――计算机反商业泄密整体解决方案
凤凰卫士于2003年初开始研发,在公司核心产品文档守望者软件的基础上,根据多年来积累的众多的市场反馈的经验,包括功能性、安全性、可靠性等,特别是针对政府单位和大型企业的需求而研发,其内部架构有着相当大的弹性。“凤凰卫士”以加密与鉴别技术为核心,不仅具有凤凰卫士的自动加密、U盘管控、打印控制、程序控制、日志监控、自动备份、外发文件控制等功能,还将身份认证与权限管理嵌入系统中,具有身份识别与权限控制等功能,可适用任何管理需求大型规模的企业和机构,是国内*先进、*稳定、*安全的反泄密解决方案。
事前主动防御:凤凰卫士反泄密软件对已有的或正在生成的Office、CAD、PDF等各种格式的电子文档及设计图纸进行加密保护,被加密的文档只能被授权用户在授权环境(如,企业内部网络)中应用,文档在创建、存储、应用、传输等环节中均为加密状态,未经授权或脱离授权环境,加密信息均无法打开使用。
事中有效控制:凤凰卫士反泄密软件的加密过程不会因修改程序或进程名,更改保存文件后缀等作弊手段而失效,同时加密文档的复制/剪切/拖放/粘贴等操作也受到限制,向非加密文件中拖放/拷贝/粘贴的操作将被自动禁止。除此以外,凤凰卫士反泄密软件对打印机,U盘等存储工具,笔记本电脑均有控制措施,并借助分组策略和身份权限的认证管理等技术进行更细化的设置和保护。
事后溯源补缺:凤凰卫士反泄密软件提供日志记录和自动备份功能,前者可以将指定的操作过程详细、完整地记录下来,方便监督检查和问题溯源;后者可以在文件被有意或无意删除或损坏时,通过备份资料及时恢复。文件在备份的传输、存储和恢复过程中均以加密形式存在。
安腾(ITEN)认为:“稳定性和安全性是*一位的”,反泄密方案不仅要考虑现在的需求,也要考虑未来企业的需求和应用。