政府部门接连发生个人资料外泄事故 议员促部门首长问责

#港闻【Now新闻台】近日政府部门接连发生个人资料外泄事故，有立法会议员认为政府应严肃跟进和彻查。立法会资讯科技及广播事务委员会主席葛珮帆：「叫一个资科办管理七十多个政府部门，以及数百个电脑系统并不现实，实际操作上亦是不可行，所以应该每个政府部门自己负责。我认为公务员事务局应该责成所有政府部门，以及公营机构，其实他们应该要由他们的部门首长及每个IT(资讯科技)项目的负责人要问责，负责所有电脑系统的保安工作。」

【葛珮帆：数码港资讯保安系统没有做多重认证，属于很低级保安错误】

【葛珮帆：数码港资讯保安系统没有做多重认证，属于很低级保安错误】2024年04月05日10点48分老不正经报道，数码港去年8月遭黑客入侵，大批资料被盗。个人资料私隐专员公署调查报告指出，数码港事故存在五大缺失，包括资讯系统欠缺有效侦测措施，个人资料被不必要保留等，导致超过1.3万人的资料外泄。立法会资讯科技及广播事务委员会主席葛珮帆昨日在电台节目表示，数码港资讯保安系统没有做多重认证，令黑客打通所有通道，属于很低级保安错误，不应该发生。

葛珮帆促检视私隐条例加强罚则　邱达根称网络安全人员不足

葛珮帆促检视私隐条例加强罚则邱达根称网络安全人员不足私隐专员公署公布数码港资料外泄事故调查报告，指事故源于五项缺失，认为数码港未有采取足够和有效措施保障资讯系统安全，也未有及时根据保留资料政策，删除已届保存期限的资料，裁定违反相关规定，要求两个月内纠正。立法会资讯科技及广播事务委员会主席、民建联议员葛珮帆认同调查结果及公署建议，指出事件中大量个人和企业数据及敏感资料被盗并被勒索，更有员工的个人资料被公开，情况不能接受。她认为不论公私营机构都应该增强网络安全意识，过去接连有公营机构发生网络安全事故，政府应加强检视网络安全措施及审视各部门及本地关键基础设施的的网络安全隐患。葛珮帆建议政府各部门及本地关键基础设施机构应采纳网络防护「红队演练」措施，以补充传统渗透测试在边界防御，及因人为疏忽产生或系统部署缺陷方面的不足。她又促请当局尽快检视《私隐条例》，加强罚则，并订立网络安全法。科技创新界立法会议员邱达根表示，近年香港不少机构在网络安全意识上都未能追上科技发展，导致相关事故不断，认为今次事件属于警号。不过他指出，本港在网络安全方面的人员不足，特别在疫情后需求大增，不少大型机构要留住相关专家亦不容易，即使警队亦有网络安全专家被挖角，认为当局必须加强培训工作。邱达根说政府将成立「数字政策办公室」，设有「数字政策专员」，希望届时能梳理及统筹有关网络安全的工作。他又认同本港在网络安全方面法例较为落后，希望当局尽快检视并提交立法会审议。2024-04-0218:14:46

葛珮帆指数码港轻视处理个人资料　赖灼东称数码港应向受害人赔偿

葛珮帆指数码港轻视处理个人资料赖灼东称数码港应向受害人赔偿私隐专员公署调查报告指出，数码港资料外泄事故涉及五项缺失，包括资讯系统欠缺有效侦测措施，个人资料被不必要保留等，导致超过1万3千人的资料外泄。立法会资讯科技及广播事务委员会主席葛珮帆批评，数码港轻视处理个人资料，管理失当。她在本台节目《千禧年代》表示，数码港资讯保安系统无做多重认证，令黑客打通所有通道，属于很低级保安错误，不应该发生。她指出，受害人个人资料包括身份证、银行户口等已被公开，黑客可做很多犯法行为，会令受害人会感到惶恐，认为数码港只提供一年的暗网身份监察不足够，建议延长，并考虑为受害人提供心理辅导。对于数码港过去年每两年为资讯系统作保安审计，电脑安全研究员赖灼东在同一节目表示，即使规模不及数码港的公司，也会每半年至一年做一次审计。他说，数码港对受害人提出的补救措施是应份要做，完全无惊喜，而数码港作为具标志性机构，应考虑形象，向受害人作出赔偿。赖灼东批评，多重认证在十年前已好成熟，认为数码港应要做好准备，因为黑客可能会作第二次或第三次攻撃。2024-04-0309:44:44

公司注册处：电子查册系统出现个人资料外泄风险已暂停服务

公司注册处：电子查册系统出现个人资料外泄风险已暂停服务公司注册处表示，在例行工作中发现「电子服务网站」内的电子查册系统出现个人资料外泄风险，现正进行紧急维修。电子查册服务现已暂停，维修工作预计于星期日完成。处方表示，十分关注事件，初步调查后，未有收到个人资料外泄报告，已暂停电子查册服务以进行紧急系统维修及相关调查，并已将事件通报保安局、政府资讯科技总监办公室及个人资料私隐专员公署。至于「电子服务网站」内的其他服务，如电子提交服务及监察易等则不受影响。2024-04-1917:18:21

公司注册处早前资料外泄事件影响约11万人　已完成紧急维修

公司注册处早前资料外泄事件影响约11万人已完成紧急维修公司注册处的「电子服务网站」早前发生个人资料外泄，处方表示受影响当事人约为11万人，已开始分批通知、解释及致歉，亦已完成紧急维修，封堵资料进一步外泄的风险。公司注册处表示，受影响人士的个人资料外泄情况包括姓名、完整护照号码、完整身份证号码、通常住址、电话号码及电邮。处方说，已完成调查，结果显示，承办商在设计系统时，除了提供查册相关资料，还将额外个人资料传输到客户端电脑。虽然这些额外资料并不会显示在查册结果页面上，但如果查册者在查册结果页面上，利用开发者工具，便会取得额外的个人资料。如查册者透过编写程式查阅资料，也会取得部分额外的个人资料。公司注册处又发现以电子方式提交持牌放债人委任第三方的通知书时，也曾出现同样情况。公司注册处表示，十分关注个人资料外泄的风险，正征询个人资料私隐专员公署和政府资讯科技总监办公室的意见，全面检视事件及进一步加强保障个人资料的措施，以防止同类事件发生。2024-05-0320:36:58