资料外泄
资料外泄是指敏感资料怀疑外泄,令有关资料蒙受在意外的情况下遗失,或在未获授权或意外的情况下被接达、处理、删除或使用的风险。资料外泄可能是由於电脑系统、网络或云端储存遭受网络攻击,网络罪犯在未获授权的情况下接达个人资料及财务资料等敏感资料。除了外人,资料外泄亦可能由不怀好意的内部人员(例如滥用权限)、人为错误(例如保安配置错误)及用户疏忽(例如遗失USB储存装置)而引致。
一般而言,网络罪犯的目标包括个人资料,例如姓名、身分證号码、电邮地址、用户名称、密码、信用卡号码或任何可作犯罪或不诚实用途(例如欺骗)的资料。对商业机构而言,财务记录、知识产权、商业秘密及客户资料等有价值的资料均可能会成为网络罪犯用以谋利的目标。
成因及影响
资料外泄的常见成因:
资料外泄可引致的影响:
对机构而言:
声誉受损 – 客户及业务伙伴可能会失去信心,并对机构产生怀疑。
处罚及法律责任 – 机构可能会遭监管机构罚款及资料当事人控告。
业务受阻及财务损失 – 可能要付出高昂费用及不少时间恢复运作,以致业务受阻和造成财务损失。
对用户而言:
财务损失 – 个人资料可能被用作财务诈骗(例如利用受害者的帐户进行未获授权的交易)。
身分被冒充 – 盗用的个人资料可能被用作进入系统或网络从事诈骗、商业间谍行为或身分盗窃。
情绪困扰 – 个别用户可能会对资料外泄所带来的负面後果感到忧虑,例如个人资料可能被用作羞辱受害者,并对其造成情绪困扰(例如名人照片外泄)。
防範措施
把电子装置存放在安全地方,并为所储存的敏感资料加密。
使用最新的防火墙、抗恶意软件工具及防範仿冒诈骗软件。
定时修补和更新应用程式。
把系统及装置的配置设定为只容许获授权的用户接达敏感资料。
避免把敏感资料传送至手提装置或任何身分不明的第三方。
使用严谨的密码及多重认证(如适用)。
注意可疑电邮及网站内索取个人资料的要求。
选用有适当保安配置及点对点加密的安全云端储存或服务。
在维修或处置储存装置前,应彻底删除装置内所有敏感资料。
不要使用不可信赖的通讯渠道(例如公共Wi-Fi)或装置进行敏感交易(例如网上银行)或接达敏感资料。
发现
可能已成为资料外泄受害者的迹象:
收到透露你的个人资料的可疑电话或交易记录
收到政府机关(例如个人资料私隐专员公署)或持有你个人资料的机构所发送的个人资料外泄通知。
搜寻一些可发现电邮帐户被入侵或涉及资料外泄事件的参考网站,例如 "Have I Been Pwned" 网站。.
发现帐户有可疑活动。
应对措施
你可考虑采取以下措施:
联络被入侵帐户的相关服务供应商,查看有否任何可疑交易。
重设任何怀疑被入侵的网上帐户的密码。
防範仿冒诈骗电邮或其他意图使用外泄资料的骗局。
考虑向香港电脑保安事故协调中心举报和报警(如涉及任何犯罪活动),以及向个人资料私隐专员公署投诉(如个人私隐受到侵犯)。
机构应制定处理资料外泄事件的应变计划,以及适时向受影响用户发出资料外泄通知的通报安排。
采取适当行动,删除外泄的资料以免被公众接达(例如向相关网站及讨论区的管理员提出要求)。
延伸阅读
关於资料外泄及须知的参考资料:
1.
Advanced Micro-Electronics - Data Security Breach: 5 Consequences for Your Business
2.
香港电脑保安事故协调中心 (HKCERT) - 云端储存服务保安
3.
Malwarebytes - What is a data breach?
4.
澳大利亚资讯专员办公室 - Data Breaches
5.
香港个人资料私隐专员公署 (PCPD) - 保障私隐
6.
Symantec Corporation - Why do data breaches occur?
免责声明:用户亦应留意网络安全资讯站中的免责声明。在下载及使用保安软件或工具前,请细阅相关的用户协议和私隐政策。
