私隱署轟國泰數據管治掉以輕心

By on June 7, 2019

原文刊於信報財經新聞

國泰航空(00293)去年約有940萬名乘客個人資料外洩,私隱專員公署發表調查報告,指國泰違反私隱條例下的個人資料保安及資料保留的資料保障原則,向國泰發出執行通知,指示國泰執行6項措施,以糾正及防止違規情況再發生。私隱專員黃繼兒表示,「國泰除了違規之外,在數據管治上明顯地掉以輕心,未能達到受影響乘客和監管機構的期望」。

提6措施促保障客戶

國泰再次就事件表示遺憾及道歉,強調已注意到私隱專員公署的報告,正與其顧問審慎考慮該報告,並將於考慮之後決定是否恰當就該報告作出任何詳細的公開回應,又稱已採取措施,提升其資料治理、網絡安全及存取控制方面的資訊科技保安,提高員工意識,及事件應對敏捷性。在資訊科技基礎設施及保安方面,過往3年已投放重大開支,並將繼續投入資源。

私隱專員公署調查指出,國泰沒有採取合理可行的步驟,以保障乘客的個人資料免受未獲授權的取覽或查閱。(黃潤根攝)私隱專員公署調查指出,國泰沒有採取合理可行的步驟,以保障乘客的個人資料免受未獲授權的取覽或查閱。(黃潤根攝)

私隱專員公署調查指出,國泰在漏洞管理、採用有效的技術保安措施及資料管治方面,沒有採取合理可行的步驟,以保障乘客的個人資料免受未獲授權的取覽或查閱,包括未能識辨某個廣為人知及可被加以利用的保安漏洞,及無在建立伺服器時進行適當的部署、沒有採取合理可行的步驟,避免伺服器的管理員控制台埠暴露於互聯網,因此導致為攻擊者開啟一個入口;亦未有對涉及存取資訊系統內個人資料的所有遙距使用者實施有效的多重身份認證,並對風險的警覺性低,在2017年的保安事故發生後沒有採取合理可行的步驟,以減低資訊系統被植入惡意軟件及被入侵的風險。

在資料保留方面,國泰沒有採取合理可行的步驟,確保受影響乘客的身份證號碼保留時間,不超過達致已廢除的核實身份之目的,亦違反保障資料原則。

倡聘獨立保安專家徹底檢修

私隱專員公署指示國泰執行6項措施,包括聘請獨立資料保安專家徹底檢修載有個人資料的系統、定期對網絡保安進行檢視或測試、為所有會存取載有個人資料資訊系統的遙距使用者實施有效多重身份認證、制訂清晰資料保留政策,訂明每個系統內的乘客資料保留期限、承諾實施有效措施確保政策獲有效執行,及從所有系統徹底銷毁亞洲萬里通會員計劃收集所有不必要的香港身份證號碼等。

國泰於去年10月公布,指公司及其全資子公司港龍航空部分乘客資料曾被未獲授權取覽,涉及約940萬名乘客。公司早於同年3月已首次發現系統有可疑活動,但一直未有公開事件。私隱專員公署認為,雖然國泰在資料外洩事故通報中並無違反私隱條例的規定,但應能在去年3月發現可疑活動時立即通知受影響乘客,建議他們採取適當的步驟。

0607_P22

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們