資料外泄

資料外泄屬於網絡安全事件，涉及未經授權下接達、更改、移除或披露個人或公司等資料。導致資料外泄的原因有多種，例如針對電腦系統的網絡攻擊、內部人員的惡意行為或員工的疏忽行為等。網絡罪犯可能會利用外泄的資料盜用身分或達到其他欺詐目的。

近年來，資料外泄帶來的威脅日益嚴重。根據一間資訊保安軟件公司在2019年進行的調查結果發現，2019年首六個月的資料外泄事件報告宗數較2018年同期增加了54%。在2019年上半年，共有3 800宗資料外泄事件，涉及超過41億項資料被公開披露。資料外泄不僅會損害受影響公司的聲譽，還會對其造成有形和無形的巨大損失。

資料外泄的成因是什麼？

為了減低資料外泄的風險，對以下導致資料外泄的主要成因有所了解十分重要：

仿冒詐騙是造成資料外泄的最常見成因。網絡罪犯可能假裝成可信或合法組織進行仿冒詐騙，通過建立欺詐網站或發送偽冒電子郵件，誘騙用戶點擊惡意網頁的超連結。

當用戶點擊這些超連結時，他們會被連接至惡意網頁，而該頁面能盜取他們的登入憑證資料，或利用瀏覽器或操作系統中的漏洞在用戶的系統上執行惡意程式碼。網絡罪犯因此得以接達受害者系統中的敏感資料，甚至能夠在系統網絡中橫向移動以搜尋並盜取有價值的資料。

例子

2019年，一間航空公司有兩名員工的帳戶遭到仿冒詐騙攻擊而導致資料外泄。該航空公司內部文件中所載有的數以十萬計可識別個人身分的資料，相信已外泄並落入網絡罪犯手上。

漏洞

網絡罪犯可以利用各種系統和應用程式中的漏洞，例如：

作業系統

網絡伺服器

應用程式軟件

軟件庫或軟件模組

網絡罪犯可使用漏洞攻擊套件並利用軟件漏洞進行掃描和破解，讓他們在不被發現的情況下獲取用戶的登入認證資料或收集商業資料。

舉例來說，插入攻擊是其中一種最常見的網絡攻擊手法。網絡罪犯將特製的查詢或代碼插入使用例如結構化查詢語言或輕型目錄存取協議等程式語言的系統或網絡應用程式中，從而執行遠端指令，控制受感染的系統並接達其中資料。

例子

2017年，一家信用報告機構因沒有修補軟件漏洞而導致其以億計的消費者資料外泄。儘管相關的修補程式早在事發前已經推出，惟該公司卻未能及時安裝，以致發生資料外泄事件。

錯誤設定

錯誤的系統或網絡設定能做成漏洞，導致如資料外泄等嚴重安全事件。錯誤的設定可能會在電腦系統不同的層面中出現，例如：

系統層面 - 沒有適當加強系統的保安或忽略了系統中任何部分的安全性設定。

應用程式層面 - 使用過時或有漏洞的軟件或預設設定和。

網絡層面 - 過分寬鬆的安全群組規定或防火牆規則。

雲端服務 - 不當的雲端服務權限許可和安全設定。

例子

2019年，一家資訊科技公司由於資料庫內錯誤的網絡安全設定而暴露了以億計的客戶記錄，任何人無需身分認證都可以使用網絡瀏覽器接達未經加密的資料。

內部威脅和用戶疏忽

由於日常運作上的需要，一些用戶例如現職僱員或前僱員、第三方合約承辦商或服務供應商等都可能有權限接達敏感資料或特權系統。由於他們可能將資料作非法用途，例如將商業資料出售與公司的競爭對手，因此有機會會構成潛在威脅。另一方面，一些沒有惡意的用戶亦可能因為疏忽，例如丟失存有敏感資料的隨身裝置，因而令敏感資料外泄。

例子

2019年，一間銀行發現有數百萬可識別個人身分的資料外泄。竊取有關客戶資料的人為一名銀行內部員工，該名員工收集客戶資料並與銀行以外的第三方共享。

資料外泄的影響

法律後果

不同地區均已實施有關資料外泄的法律和規例，根據相關法律和規例，資料的控制者和處理者有法律責任正確處理和保護個人資料，其中幾條為人熟悉的法例包括香港的《個人資料（私隱）條例》和歐盟的《通用數據保障條例》。不遵守相關法律和規例的公司可能會面臨監管機構的法律行動（例如罰款和監禁）。

財務損失

公司可能會因資料外泄而遭受巨大的財務損失。資料外泄可能會影響或破壞公司的日常運作，導致生意上的損失。其他財務後果包括需要向受資料外泄影響的客戶作出補償及支付和解費用，並且要支付法律服務、應對外泄情況和調查等費用。

聲譽損害

資料外泄會嚴重損害公司的品牌和聲譽，並對現有及準客戶產生負面形象。客戶和生意夥伴可能因此對相關公司失去信任並終止合作關係。

防範措施

系統 / 應用程式 / 網絡保安措施

所有應用程式應採用安全的系統設定，並關閉系統中非必要的功能。

及時安裝修補程式以修復任何已知的電腦系統或應用程式漏洞，並使用修補程式管理軟件來自動進行修補程式的測試和部署（如適用）。

將已經過時或中止支援的系統和應用程式移除或升級。

傳輸資料時採用適當措施保障網絡安全（例如採用應用系統、將安全要求不一的網絡分隔）。

偵測可疑的數據流程或任何未經授權的活動，以調查任何潛在的資料外泄情況。

確保用戶的系統和資料接達權限，沒有超越其目前崗位所需。

採用強度密碼和身分驗證措施（例如、生物認證等），以避免未經授權接達任何服務、系統或其中的資料。

進行定期的和審計，以檢查和找出資料保護措施中的任何風險並採取及時的緩解措施。

資料和處置

對傳輸中和靜態的資料使用嚴謹的保安規約進行加密（例如傳輸層保安）。

採用服務，例如硬件安全模組或企業密碼匙的管理系統，以適當地建立、儲存和交換用於資料加密的密鑰。

處置儲存設備前應適當地刪除敏感資料（例如對儲存媒體進行消磁和實體銷毀）。

用戶認知培訓

為不同層級的用戶（由高級管理層到前線員工）安排定期的培訓及演習，以提高他們對資訊保安的認知，包括資料保護的重要性。

提醒用戶將任何可疑的電子郵件或網站報告向其機構負責人報告，以採取必要的措施。

應對資料外泄事件

發生資料外泄時，相關公司應該考慮以下步驟，以有效地應對事件：

1. 收集資訊並制止資料繼續外泄

找出發生資料外泄的問題根源（例如何時、何地及如何發生外泄）以評估外泄事件的影響。

即時封鎖對該些資料的接達，以免因失去資料而造成進一步的損害。

把受影響的系統或服務進行離線處理並暫停懷疑與事件有關的帳戶。

通過與互聯網服務承辦商，或是網站、論壇或搜尋器的管理員、政府部門（例如國家電腦保安事故協調中心）等相關團體聯繫，以刪除外泄的資料（例如外部主機中的資料）或接達資料（例如連接到外泄資料的超連結）。

若事件涉及任何犯罪活動，請向警方舉報。若事件涉及個人資料外泄，請向個人資料私隱專員公署作出資料外泄事故通報。

如有需要，向香港電腦保安事故協調中心尋求有關事故應變和復原的意見。

2. 進行與該外泄相關的評估

評估該外泄事件所引起的風險及影響。

進行調查以收集證據，例如記錄、審計追蹤、系統報告等，以判斷該外泄的嚴重程度。

檢查是否有涉及個人或商業的資料外泄，並評估該外泄對業務及客戶造成的損害。

判斷是否需要外間技術支援來消除系統漏洞。

3. 通知受影響的人

盡快通知受影響的人。提供與外泄事件相關的資訊，並建議各方應該採取的相關措施（例如更改帳戶密碼），以減低外泄事件造成的潛在影響（例如濫用資料）。

對任何公眾或媒體的查詢作出適切回應。

4. 事後評估

調查外泄事件的根本成因，並考慮採取補救措施，以免重蹈覆轍。

根據調查結果，提出可行的改進建議，例如：

改善敏感資料的處理流程。

檢視用戶對敏感資料的接達權限設定。

評估資訊科技保安措施並落實保護措施，以防範敏感資料遭到未經授權的接達。

進行審計以確保相關的建議正在執行。

延伸閱讀

European Commission (EC) - What is a data breach and what do we have to do in case of a data breach? （只有英文版）

National Institute of Standards and Technology (NIST) - Data Confidentiality: Detect, Respond to, and Recover from Data Breaches （只有英文版）

Information Systems Audit and Control Association (ISACA) - Data Breach Preparation and Response in Accordance With GDPR （只有英文版）

Department for Digital, Culture, Media and Sport (DCMS) - Cyber Security Breaches Survey 2020 （只有英文版）

Office of the Australian Information Commissioner (OAIC) - Data breach response plan （只有英文版）

個人資料私隱專員公署 - 資料外洩事故的處理及通報指引

免責聲明：用戶亦應留意網絡安全資訊站中的免責聲明。在下載及使用保安軟件或工具前，請細閱相關的用戶協議和私隱政策。

相關主題:

網絡安全威脅

數據保護/私隱

參閱資料予: