資料外泄
資料外泄是指敏感資料懷疑外泄,令有關資料蒙受在意外的情況下遺失,或在未獲授權或意外的情況下被接達、處理、刪除或使用的風險。資料外泄可能是由於電腦系統、網絡或雲端儲存遭受網絡攻擊,網絡罪犯在未獲授權的情況下接達個人資料及財務資料等敏感資料。除了外人,資料外泄亦可能由不懷好意的內部人員(例如濫用權限)、人為錯誤(例如保安配置錯誤)及用戶疏忽(例如遺失USB儲存裝置)而引致。
一般而言,網絡罪犯的目標包括個人資料,例如姓名、身分證號碼、電郵地址、用戶名稱、密碼、信用卡號碼或任何可作犯罪或不誠實用途(例如欺騙)的資料。對商業機構而言,財務記錄、知識產權、商業秘密及客戶資料等有價值的資料均可能會成為網絡罪犯用以謀利的目標。
成因及影響
資料外泄的常見成因:
資料外泄可引致的影響:
對機構而言:
聲譽受損 – 客戶及業務伙伴可能會失去信心,並對機構產生懷疑。
處罰及法律責任 – 機構可能會遭監管機構罰款及資料當事人控告。
業務受阻及財務損失 – 可能要付出高昂費用及不少時間恢復運作,以致業務受阻和造成財務損失。
對用戶而言:
財務損失 – 個人資料可能被用作財務詐騙(例如利用受害者的帳戶進行未獲授權的交易)。
身分被冒充 – 盜用的個人資料可能被用作進入系統或網絡從事詐騙、商業間諜行為或身分盜竊。
情緒困擾 – 個別用戶可能會對資料外泄所帶來的負面後果感到憂慮,例如個人資料可能被用作羞辱受害者,並對其造成情緒困擾(例如名人照片外泄)。
防範措施
把電子裝置存放在安全地方,並為所儲存的敏感資料加密。
使用最新的防火牆、抗惡意軟件工具及防範仿冒詐騙軟件。
定時修補和更新應用程式。
把系統及裝置的配置設定為只容許獲授權的用戶接達敏感資料。
避免把敏感資料傳送至手提裝置或任何身分不明的第三方。
使用嚴謹的密碼及多重認證(如適用)。
注意可疑電郵及網站內索取個人資料的要求。
選用有適當保安配置及點對點加密的安全雲端儲存或服務。
在維修或處置儲存裝置前,應徹底刪除裝置內所有敏感資料。
不要使用不可信賴的通訊渠道(例如公共Wi-Fi)或裝置進行敏感交易(例如網上銀行)或接達敏感資料。
發現
可能已成為資料外泄受害者的跡象:
收到透露你的個人資料的可疑電話或交易記錄
收到政府機關(例如個人資料私隱專員公署)或持有你個人資料的機構所發送的個人資料外泄通知。
搜尋一些可發現電郵帳戶被入侵或涉及資料外泄事件的參考網站,例如 "Have I Been Pwned" 網站。.
發現帳戶有可疑活動。
應對措施
你可考慮採取以下措施:
聯絡被入侵帳戶的相關服務供應商,查看有否任何可疑交易。
重設任何懷疑被入侵的網上帳戶的密碼。
防範仿冒詐騙電郵或其他意圖使用外泄資料的騙局。
考慮向香港電腦保安事故協調中心舉報和報警(如涉及任何犯罪活動),以及向個人資料私隱專員公署投訴(如個人私隱受到侵犯)。
機構應制定處理資料外泄事件的應變計劃,以及適時向受影響用戶發出資料外泄通知的通報安排。
採取適當行動,刪除外泄的資料以免被公眾接達(例如向相關網站及討論區的管理員提出要求)。
延伸閱讀
關於資料外泄及須知的參考資料:
1.
Advanced Micro-Electronics - Data Security Breach: 5 Consequences for Your Business
2.
香港電腦保安事故協調中心 (HKCERT) - 雲端儲存服務保安
3.
Malwarebytes - What is a data breach?
4.
澳大利亞資訊專員辦公室 - Data Breaches
5.
香港個人資料私隱專員公署 (PCPD) - 保障私隱
6.
Symantec Corporation - Why do data breaches occur?
免責聲明:用戶亦應留意網絡安全資訊站中的免責聲明。在下載及使用保安軟件或工具前,請細閱相關的用戶協議和私隱政策。
