南華體育會今年3月發生的資料外洩事故,逾7.2萬名南華會會員資料被外洩,涉及的個人資料包括姓名、香港身份證號碼、護照號碼等。
個人私隱專員公署認為事故可以避免,惟南華會保護會員個人資料的意識薄弱,對事前未能採取有效資訊系統保安措施,感到非常失望,裁定南華會違反《個人資料私隱條例》,已向南華會送達執行通知,要求糾正。
公署表示,黑客前年年初已在南華會一台與互聯網連接伺服器內安裝一個惡意程式,直至今年3月入侵南華會網絡,並安裝遠端控制軟件,對電腦系統展開暴力攻擊及其他惡意活動,最終透過勒索軟件將載有會員個人資料的檔案加密,涉及共8台伺服器、1台數據儲存器及18台電腦,黑客曾要求南華會支付贖金,為已被加密的檔案解鎖。
私隱專員鍾麗玲指出,南華會在事件中有6項缺失導致事件發生,包括相關伺服器被意外地曝露於互聯網、資訊系統欠缺有效偵測措施、南華會方面沒有為管理員賬戶啟用多重認證功能、南華會欠缺資訊保安政策及指引、沒有定期進行風險評估及保安審計,以及欠缺離線數據備份方案。
公署要求南華會每年至少審視一次個人資料系統連結互聯網的必要性,定期檢視及更新偵測及警示工具,聘請獨立資訊保安專家每年進行風險評估及保安審計,而南華會須於2個月內提交改善措施的證明文件。