资料外泄

资料外泄属于网络安全事件，涉及未经授权下接达、更改、移除或披露个人或公司等资料。导致资料外泄的原因有多种，例如针对电脑系统的网络攻击、内部人员的恶意行为或员工的疏忽行为等。网络罪犯可能会利用外泄的资料盗用身分或达到其他欺诈目的。

近年来，资料外泄带来的威胁日益严重。根据一间资讯保安软件公司在2019年进行的调查结果发现，2019年首六个月的资料外泄事件报告宗数较2018年同期增加了54%。在2019年上半年，共有3 800宗资料外泄事件，涉及超过41亿项资料被公开披露。资料外泄不仅会损害受影响公司的声誉，还会对其造成有形和无形的巨大损失。

资料外泄的成因是什么？

为了减低资料外泄的风险，对以下导致资料外泄的主要成因有所了解十分重要：

仿冒诈骗是造成资料外泄的最常见成因。网络罪犯可能假装成可信或合法组织进行仿冒诈骗，通过建立欺诈网站或发送伪冒电子邮件，诱骗用户点击恶意网页的超连结。

当用户点击这些超连结时，他们会被连接至恶意网页，而该页面能盗取他们的登入凭证资料，或利用浏览器或操作系统中的漏洞在用户的系统上执行恶意程式码。网络罪犯因此得以接达受害者系统中的敏感资料，甚至能够在系统网络中横向移动以搜寻并盗取有价值的资料。

例子

2019年，一间航空公司有两名员工的帐户遭到仿冒诈骗攻击而导致资料外泄。该航空公司内部文件中所载有的数以十万计可识别个人身分的资料，相信已外泄并落入网络罪犯手上。

漏洞

网络罪犯可以利用各种系统和应用程式中的漏洞，例如：

作业系统

网络伺服器

应用程式软件

软件库或软件模组

网络罪犯可使用漏洞攻击套件并利用软件漏洞进行扫描和破解，让他们在不被发现的情况下获取用户的登入认证资料或收集商业资料。

举例来说，插入攻击是其中一种最常见的网络攻击手法。网络罪犯将特制的查询或代码插入使用例如结构化查询语言或轻型目录存取协议等程式语言的系统或网络应用程式中，从而执行远端指令，控制受感染的系统并接达其中资料。

例子

2017年，一家信用报告机构因没有修补软件漏洞而导致其以亿计的消费者资料外泄。尽管相关的修补程式早在事发前已经推出，惟该公司却未能及时安装，以致发生资料外泄事件。

错误设定

错误的系统或网络设定能做成漏洞，导致如资料外泄等严重安全事件。错误的设定可能会在电脑系统不同的层面中出现，例如：

系统层面 - 没有适当加强系统的保安或忽略了系统中任何部分的安全性设定。

应用程式层面 - 使用过时或有漏洞的软件或预设设定和。

网络层面 - 过分宽松的安全群组规定或防火墙规则。

云端服务 - 不当的云端服务权限许可和安全设定。

例子

2019年，一家资讯科技公司由于资料库内错误的网络安全设定而暴露了以亿计的客户记录，任何人无需身分认证都可以使用网络浏览器接达未经加密的资料。

内部威胁和用户疏忽

由于日常运作上的需要，一些用户例如现职雇员或前雇员、第三方合约承办商或服务供应商等都可能有权限接达敏感资料或特权系统。由于他们可能将资料作非法用途，例如将商业资料出售与公司的竞争对手，因此有机会会构成潜在威胁。另一方面，一些没有恶意的用户亦可能因为疏忽，例如丢失存有敏感资料的随身装置，因而令敏感资料外泄。

例子

2019年，一间银行发现有数百万可识别个人身分的资料外泄。窃取有关客户资料的人为一名银行内部员工，该名员工收集客户资料并与银行以外的第三方共享。

资料外泄的影响

法律后果

不同地区均已实施有关资料外泄的法律和规例，根据相关法律和规例，资料的控制者和处理者有法律责任正确处理和保护个人资料，其中几条为人熟悉的法例包括香港的《个人资料（私隐）条例》和欧盟的《通用数据保障条例》。不遵守相关法律和规例的公司可能会面临监管机构的法律行动（例如罚款和监禁）。

财务损失

公司可能会因资料外泄而遭受巨大的财务损失。资料外泄可能会影响或破坏公司的日常运作，导致生意上的损失。其他财务后果包括需要向受资料外泄影响的客户作出补偿及支付和解费用，并且要支付法律服务、应对外泄情况和调查等费用。

声誉损害

资料外泄会严重损害公司的品牌和声誉，并对现有及准客户产生负面形象。客户和生意伙伴可能因此对相关公司失去信任并终止合作关系。

防范措施

系统 / 应用程式 / 网络保安措施

所有应用程式应采用安全的系统设定，并关闭系统中非必要的功能。

及时安装修补程式以修复任何已知的电脑系统或应用程式漏洞，并使用修补程式管理软件来自动进行修补程式的测试和部署（如适用）。

将已经过时或中止支援的系统和应用程式移除或升级。

传输资料时采用适当措施保障网络安全（例如采用应用系统、将安全要求不一的网络分隔）。

侦测可疑的数据流程或任何未经授权的活动，以调查任何潜在的资料外泄情况。

确保用户的系统和资料接达权限，没有超越其目前岗位所需。

采用强度密码和身分验证措施（例如、生物认证等），以避免未经授权接达任何服务、系统或其中的资料。

进行定期的和审计，以检查和找出资料保护措施中的任何风险并采取及时的缓解措施。

资料和处置

对传输中和静态的资料使用严谨的保安规约进行加密（例如传输层保安）。

采用服务，例如硬件安全模组或企业密码匙的管理系统，以适当地建立、储存和交换用于资料加密的密钥。

处置储存设备前应适当地删除敏感资料（例如对储存媒体进行消磁和实体销毁）。

用户认知培训

为不同层级的用户（由高级管理层到前线员工）安排定期的培训及演习，以提高他们对资讯保安的认知，包括资料保护的重要性。

提醒用户将任何可疑的电子邮件或网站报告向其机构负责人报告，以采取必要的措施。

应对资料外泄事件

发生资料外泄时，相关公司应该考虑以下步骤，以有效地应对事件：

1. 收集资讯并制止资料继续外泄

找出发生资料外泄的问题根源（例如何时、何地及如何发生外泄）以评估外泄事件的影响。

即时封锁对该些资料的接达，以免因失去资料而造成进一步的损害。

把受影响的系统或服务进行离线处理并暂停怀疑与事件有关的帐户。

通过与互联网服务承办商，或是网站、论坛或搜寻器的管理员、政府部门（例如国家电脑保安事故协调中心）等相关团体联系，以删除外泄的资料（例如外部主机中的资料）或接达资料（例如连接到外泄资料的超连结）。

若事件涉及任何犯罪活动，请向警方举报。若事件涉及个人资料外泄，请向个人资料私隐专员公署作出资料外泄事故通报。

如有需要，向香港电脑保安事故协调中心寻求有关事故应变和复原的意见。

2. 进行与该外泄相关的评估

评估该外泄事件所引起的风险及影响。

进行调查以收集证据，例如记录、审计追踪、系统报告等，以判断该外泄的严重程度。

检查是否有涉及个人或商业的资料外泄，并评估该外泄对业务及客户造成的损害。

判断是否需要外间技术支援来消除系统漏洞。

3. 通知受影响的人

尽快通知受影响的人。提供与外泄事件相关的资讯，并建议各方应该采取的相关措施（例如更改帐户密码），以减低外泄事件造成的潜在影响（例如滥用资料）。

对任何公众或媒体的查询作出适切回应。

4. 事后评估

调查外泄事件的根本成因，并考虑采取补救措施，以免重蹈覆辙。

根据调查结果，提出可行的改进建议，例如：

改善敏感资料的处理流程。

检视用户对敏感资料的接达权限设定。

评估资讯科技保安措施并落实保护措施，以防范敏感资料遭到未经授权的接达。

进行审计以确保相关的建议正在执行。

延伸阅读

European Commission (EC) - What is a data breach and what do we have to do in case of a data breach? （只有英文版）

National Institute of Standards and Technology (NIST) - Data Confidentiality: Detect, Respond to, and Recover from Data Breaches （只有英文版）

Information Systems Audit and Control Association (ISACA) - Data Breach Preparation and Response in Accordance With GDPR （只有英文版）

Department for Digital, Culture, Media and Sport (DCMS) - Cyber Security Breaches Survey 2020 （只有英文版）

Office of the Australian Information Commissioner (OAIC) - Data breach response plan （只有英文版）

个人资料私隐专员公署 - 资料外泄事故的处理及通报指引

免责声明：用户亦应留意网络安全资讯站中的免责声明。在下载及使用保安软件或工具前，请细阅相关的用户协议和私隐政策。